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逆向 分 析 人 员 必 知 的 核心 原理 ! 


软件 逆向 工程 ( 代码 逆向 分 析 ) 是 一 种 探究 应 用 程序 内 部 组 成 结构 及 工作 原理 的 技术 。 运 用 逆向 
分 析 技 术 ， 我 们 可 以 轻松 窥探 程序 内 部 结构 ， 掌 握 其 工作 原理 ， 可 以 在 程序 的 开发 与 测试 阶段 发 现 
Bug 和 漏洞 ， 并 直接 修改 程序 文件 或 内 存 解决 这 些 问题 ， 还 可 以 为 程序 添加 新 功能 ， 使 程序 更 强大 。 

本 书 内 容 讲 解 非常 细致 ， 涵 盖 了 从 恶意 代码 分 析 基 础 知识 到 高 级 技术 的 全 部 内 容 ， 系 统 而 有 条 
理 ， 语 言 简洁 ， 通 俗 易 懂 ， 并 在 讲解 中 选 瑟 了 恰当 的 示例 程序 ， 使 内 容 更 易 理解 。 对 于 最 近 出 现 的 恶 
意 代码 中 的 各 种 常用 技术 ， 本 书 都 做 了 详细 讲解 ， 无 论 你 是 初学 者 还 是 分 析 专 家 ， 都 能 从 中 获 益 。 


为 什么 本 书 非 常 适合 作为 逆向 分 析 技 术 的 入 门 书 ? 


四 同 开发 与 分 析 的 经 验 。 书 中 用 到 的 几乎 所 有 示例 都 基于 作者 在 逆向 分 析 实 践 中 获得 的 知识 与 经 验 ， 
是 其 亲自 开发 的 程序 ， 紧 扣 各 章 主题 ， 绝 无 累 蓝 。 

臣 如 培训 与 演讲 的 经 验 。 编 写本 书 时 ， 作 者 将 培训 经 验 应 用 到 本 书 的 组 织 结构 、 内 容 讲 解 、 示 例 选择 
等 各 方面 ， 以 求 将 较为 难 懂 的 技术 坟 更 易 懂 的 方式 呈现 给 各 位 。 — 
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交流 ， 充 分 了 解 了 初学 者 们 的 困惑 和 需求 。 
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内 容 提 要 


本 书 十 分 详尽 地 介绍 了 代码 逆向 分 析 的 核心 原理 。 作 者 在 Ahnlab 研究 所 工作 多 年 ， 书 中 不 仅 包括 其 以 
此 经 验 为 基础 亲自 编写 的 大 量 代码 ， 还 包含 了 逆向 工程 研究 人 员 必 须 了 解 的 各 种 技术 和 技巧 。 彻 底 理解 并 
切实 掌握 逆向 工程 这 门 技术 ,就 能 在 众多 IT 相关 领域 进行 拓展 运用 , 这 本 书 就 是 通 向 逆向 工程 大 门 的 捷径 。 

想 成 为 逆向 工程 研究 员 的 读者 或 正在 从 事 逆向 开发 工作 的 开发 人 员 一 定 会 通过 本 书 获得 很 大 帮助 。 同 
时 ， 想 成 为 安全 领域 专家 的 人 也 可 从 本 书 轻 松 起 步 。 
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向 安全 技术 专家 迈 出 第 一 步 的 必 选 书 ! 

最 近 ， 越 来 越 多 的 人 开始 关心 信息 技术 安全 ， 但 是 相关 领域 的 安全 技术 专家 仍然 十 分 荐 乏 。 
主要 有 两 方面 原因 导致 这 种 现象 形成 : 一 方面 是 因为 必须 做 大 量 准备 , 努力 学 习 ; 另 一 方面 是 因 
为 市 面 上 缺乏 系统 讲解 这 类 内 容 的 专业 书籍 。 

信息 技术 安全 领域 的 图 书 很 少 有 讲解 恶意 代码 分 析 的 , 本 书 恰好 填补 了 这 一 空白 。 无 论 是 刚 
开始 学 习 恶 意 代 码 分 析 的 朋友 ， 还 是 从 事 恶 意 代 码 分 析 的 专家 ， 都 会 为 本 书面 世 而 激动 。 

虽然 读者 阅读 本 书 时 需要 具有 基本 的 汇编 语言 知识 , 但 是 本 书 内 容 讲解 非常 细致 ， 涵盖 了 从 
恶意 代码 分 析 基 础 知识 到 高 级 技术 的 全 部 内 容 ， 系 统 而 有 条 理 , 语言 简洁 ,通俗 易 懂 ,并 在 讲解 
中 选 配 了 恰当 的 示例 程序 , 使 内 容 更 易 理解 。 对 于 最 近 出 现 的 恶意 代码 中 的 各 种 常用 技术 ,本 书 
都 做 了 详细 讲解 ， 无 论 你 是 初学 者 还 是 分 析 专 家 ， 都 能 从 中 获 益 。 


信息 安全 技术 涉及 各 和 领域， 需要 知识 渊博 、 经 验 丰 富 的 专家 。 本 书 将 帮 你 轻松 迈 出 成 为 安全 
技术 专家 的 第 一 步 。 
一 一 韩 昌 套 ，ASEC 中 心 主任 


如 果 此 刻 你 手 上 正 捧 着 这 本 书 ， 说 明 你 已 经 被 代码 逆向 分 析 的 魅力 深 深 吸引 了 ! 

对 于 刚 开 始 学 习 代 码 闭 向 分 析 技 术 的 人 而 言 ， 需 要 学 习 的 内 容 很 多 ， 这 容易 让 人 心 生 旦 惧 、 
止步 不 前 。 其 实 不 需 担 心 , 本 书 在 学 习 过 程 中 给 出 了 大 量 提示 ,各 位 借助 这 些 提 示 可 以 更 好 地 理 
解 所 讲 的 内 容 。 

本 书 比较 重视 代码 逆向 分 析 者 的 心态 引导 与 培养 , 在 内 容 讲解 上 也 与 其 他 书籍 不 同 , 并 不 是 
单纯 的 技巧 罗列 ， 而 是 深刻 讲解 了 相关 技术 的 深层 含义 、 技 术 的 工作 原理 以 及 内 部 实现 结构 , 这 
也 是 本 书 的 重点 所 在 。 同 时 配合 丰富 示例 ， 让 内 容 变 得 更 具体 形象 、 更 易 理 解 ， 作 者 的 良 苦 用 心 
可 见 一 斑 。 

你 想 成 为 代码 逆向 分 析 员 吗 ? 如 果 你 感到 困惑 : “我 是 开发 人 员 ， 难 道 也 需要 读 它 吗 ? ”不妨 
试 坛 ， 它 将 成 为 你 最 好 的 同伴 。 

一 一 郑 官 真 ，CISCO 高 级 研究 员 


ill 
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本 书 将 指引 你 进入 美妙 又 刺激 的 代码 逆向 分 析 世 界 ， 开 局 一 段 神奇 之 旅 ! 


软件 逆向 工程 (代码 逆向 分 析 ) 是 一 种 探究 应 用 程序 内 部 组 成 结构 及 工作 原理 的 技术 。 欢 迎 
各 位 来 到 代码 逆向 分 析 世 界 ， 经 历 各 种 神奇 的 冒险 ， 迎 接 各 种 富有 趣味 的 挑战 。 


不 论 是 我 们 自己 编写 的 程序 ,还 是 其 他 人 编写 的 无 源码 程序 ， 只 要 运用 北向 分 析 技 术 , 我们 
就 能 轻松 突 探 程序 内 部 结构 、 掌 握 工作 原理 。 灵活 运用 逆向 分 析 技 术 可 以 在 程序 的 开发 与 测试 阶 
段 发 现 Bug 和 漏洞 ,并 直接 修改 程序 文件 或 内 存 解决 这 些 隐 含 的 问题 。 而且, 我 们 还 可 以 借助 逆 
向 分 析 技术 为 程序 添加 新 功能 ， 使 程序 更 强大 。 这 就 像 是 一 种 魔法 ， 魅 力 无 限 。 


学 习 逆 向 分 析 技术 前 并 不 需要 准备 太 多 。 下 面 给 各 位 讲 讲 我 的 经 历 。 几 年 来 ,我 一 直 维护 着 
一 个 逆向 分 析 技 术 学 习 博 客 ， 访 客 们 问 得 最 多 的 问题 是 :“ 究 竟 该 怎样 学 习 逆向 分 析 技术 ” ”我 
结合 自身 经 验 并 分 析 了 一 些 学 习 失败 的 案例 后 发 现 , 失败 的 最 大 原因 并 不 是 学 习 本 身 的 难度 与 要 
学 内 容 的 数量 , 而 是 对 学 习 逆 向 技术 的 铠 惯 与 忧虑 一 一 “我 连 C 语言 还 不 懂 呢 ”“ 一 定 要 掌握 汇 
编 语言 吗 ““OS 架构 我 还 没 搞 明 白 ”“ “不 知道 怎么 用 调试 器 ““ 学 完 这 么 多 内 容 才 能 真正 开始 
学 北向 分 析 技 术 啊 ”， 以 上 这 些 担 心 正 是 迫使 学 习 者 们 中 途 放弃 的 主要 原因 。 其 实 ， 学习 逆向 分 
析 技 术 与 学 习 C 语 言 、 汇 编 语 言 、OS 架构 、 调 试 器 用 法 等 内 容 是 一 样 的 。 将 这 些 内 容 全 部 掌握 
的 人 已 经 是 专家 了 ， 当 然 不 需要 这 个 入 门 过 程 。 


你 仍 对 逆向 分 析 技 术 一 无 所 知 ? 没关系 ,不必 泪 表 ,这 反而 是 件 好 事 。 因 为 你 会 在 以 后 的 学 
习 过 程 中 学 到 很 多 东西 ， 会 变 得 更 聪明 、 更 有 价值 ， 谁 说 这 不 是 件 好 事 呢 ? 


如 果 你 梦想 成 为 逆向 分 析 工 程 师 , 但 不 知 如 何 入 门 ; 如 果 你 是 一 名 程序 开发 者 ， 又 对 逆向 分 
析 技 术 非常 感 兴趣 , 那么 本 书 将 非常 适合 阅读 。 学 习 逆 向 分 析 技 术 并 不 像 公 式 一 样 背 下 来 就 可 以 
了 ,死记 人 硬 背 的 结果 是 你 会 不 知道 如 何 灵活 运用 。 学 习 某 些 知 识 技术 时 ， 不仅 要 掌握 其 本 身 , 还 
要 知道 它们 的 内 部 机 制 与 工作 原理 ， 既 知 其 然 又 知 其 所 以 然 , 这 才 是 最 重要 的 。 所以， 本 书 讲解 
相关 知识 与 技术 时 , 将 讲解 重点 放 在 对 其 工作 原理 的 分 析 与 说 明 上 , 这 将 更 有 利于 各 位 真正 掌握 
它们 。 为 什么 本 书 非常 适合 作为 逆向 分 析 技 术 的 入 门 书 呢 ?” 以 下 是 我 的 几 点 理由 。 


第 一 , 开发 与 分 析 的 经 验 。 一 名 逆向 分 析 工 程 师 不 仅 要 具备 专业 的 逆向 分 析 技 术 , 还 要 具有 
一 定 的 程序 开发 能 力 。 我 以 前 从 事 网 络 应 用 程序 开发 ， 后 来 开始 做 恶意 代码 分 析 工作 , 慢 慢 就 对 
逆向 分 析 技 术 熟 悉 起 来 。 可 以 说 , 我 是 从 程序 开发 者 转变 为 逆向 分 析 员 的 为 数 不 多 的 人 之 一 。 程 
序 开发 与 逆向 分 析 这 两 项 技术 相辅相成 、 互 为 补充 、 共 同 发 展 ， 形 成 相得益彰 的 效果 。 日 常 工作 
H, 它们 就 像 一 双 翅 膀 应 用 于 各 类 业务 。 分 析 程 序 时 ， 人 们 自然 就 会 从 程序 开发 与 逆向 分 析 这 两 
个 角度 着 手 。 书 中 用 到 的 几乎 所 有 示例 都 基于 我 在 逆向 分 析 实 践 中 获得 的 知识 与 经 验 , 是 我 亲自 
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第 二 ,培训 与 演讲 的 经 验 。 我 在 公司 慢 慢 有 了 资历 ， 随 之 而 来 的 培训 、 研 讨 会 、 演 讲 也 逐渐 
多 起 来 。 我 进行 逆向 分 析 技 术 培 训 时 ， 面 对 的 学 员 大 都 是 初学 者 , 这 些 机 会 非常 有 利于 我 了 解 他 
们 遇 到 的 困难 与 想 知道 的 东西 。 所 以 , 我 一 直 在 用 心思 考 ， 如 何 用 更 易 理 解 的 方式 传授 要 讲解 的 
知识 ,这 样 就 慢 慢 形成 了 自己 特有 的 讲解 技巧 与 风格 。 编 写本 书 时 , 我 又 将 这 些 培训 经 验 应 用 到 
本 书 的 组 织 结构 、 内 容 讲 解 、 示 例 选择 等 各 方面 ， 以 求 将 较为 难 懂 的 技术 以 更 易 懂 的 方式 呈现 给 
各 位 。 

第 三 , 丰富 的 沟通 经 验 。 我 几 年 前 就 开设 了 一 个 逆向 技术 学 习 博 客 并 运营 至 今 。 刚 开始 的 想 
法 非常 简单 ， 就 是 想 归 纳 整理 自己 学 到 的 逆向 分 析 技术 。 后 来 访客 越 来 越 多 ， 留 下 的 问题 也 多 起 
来 。 我 感到 很 售 讶 ， 之 前 一 直 以 为 韩国 是 闭 向 分 析 技 术 的 “不 毛 之 地 ”， 结 果 关 注 逆向 分 析 技 术 
的 人 比 我 想 得 要 多 , 并 且 他 们 关注 的 范围 也 非常 广泛 。 这 大 大 拓宽 了 我 的 视野 ， 于 是 我 开始 访问 
其 他 逆向 分 析 技术 学 习 博 客 , 接触 到 了 更 多 文章 与 问题 , 慢 慢 了 解 了 他 们 关注 的 部 分 。 我 在 此 过 
程 中 逐渐 认识 到 , 初学 者 们 想 知 道 的 是 逆向 分 析 技 术 的 系统 的 学 习 方 法 。 他 们 入 门 之 后 迫切 要 学 
习 的 是 专业 的 逆向 分 析 技 术 与 内 部 工作 原理 。 有 感 于 此 , 我 就 萌生 了 写 一 本 系统 学 习 逆向 分 析 技 
术 书 的 想法 ,就 这 样 ， 在 北向 分 析 与 开发 、 培 训 、 演 讲 、 交 流 等 经 验 基础 上 ， 这 本 逆向 分 析 技 术 
学 习 人 门 书 诞生 了 。 

那么 ， 读 者 应 该 如 何 使 用 本 书 学 习 逆向 分 析 技 术 呢 ? 对 此 ， 我 给 出 如 下 几 点 建议 ， 供 各 位 
参考 。 


第 一 ,技术 书 不 是 装饰 书架 的 道具 ,它们 是 提高 各 位 技术 水 平 的 工具 。 所 以 阅读 时 要 勾画 出 
重要 部 分 , 在 书页 空白 处 写 下 自己 的 想法 与 心得 等 。 阅读 时 , 在 书页 上 记录 相关 技术 、 注 意 事 项 、 
技术 优 缺 点 、 与 作者 的 不 同 见解 等 ， 让 它 成 为 只 属于 你 的 书 。 读 完 这 样 一 本 逆向 分 析 技术 书后 ， 
不 知 不 觉 间 就 构建 出 自己 独特 的 逆向 分 析 世 界 ， 最 终 成 为 代码 逆向 分 析 专家 。 


第 二 ， 拥 有 积极 乐观 的 心态 。 逆 向 分 析 是 一 项 深奥 的 技术 ， 会 涉及 OS 底层 知识 。 要 学 的 内 
容 很 多 , 并 且 大 部 分 内 容 需要 亲自 测试 并 确认 才能 最 终 理解 。 必 须 用 积极 乐观 的 心态 对 待 这 一 过 
程 ， 学习 逆 向 技术 无 关 聪明 与 否 ， 只 跟 投 入 时 间 的 多 少 有 关 。 学 习 时 ,不 要 太 急 躁 , 请 保持 轻松 
的 心态 。 

第 三 ， 不 断 挑战 。 逆 向 分 析 不 尽 如 人 意 时 ， 不 要 停 下 来 ， 要 尝试 其 他 方法 ,不 断 挑战 。 要 相 
言 一 定 会 有 解决 的 方法 ， 可 能 几 年 前 早已 有 人 成 功 过 了 。 搜索 相关 资料 并 不 断 尝 试 , 不仅 能 提高 
自身 技术 水 平 ， 解 决 问题 后 ， 心 里 还 能 感受 到 一 种 成 就 感 。 这 样 的 成 功 经 验 一 点 点 积累 起 来 ， 自 
信心 就 会 大 大 增强 ,自身 的 逆向 分 析 水 平 也 会 得 到 明显 提高 。 这 种 从 经 验 中 获得 的 自信 会 不 知 不 
党 地 对 逆向 分 析 过 程 产生 积极 影响 ， 让 逆向 分 析 往 更 好 的 方向 发 展 。 

希望 本 书 能 够 帮助 各 位 把 “心愿 表 ” 上 的 愿望 一 一 实现 ， 也 希望 各 位 把 本 书 讲解 的 知识 、 技 
术 广 泛 应 用 到 逆向 分 析 过 程 中 ， 发 挥 更 大 的 作用 。 谢 谢 。 


动笔 容易 写 完 难 。 我 只 身 一 人 是 无 法 完成 本 书 的 ， 写 作 过 程 中 得 到 了 很 多 人 的 关心 、 支 持 与 
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wp 
U3 


鼓励 ， 没 有 他 们 就 不 会 有 本 书 。 借 此 机 会 ， 我 向 所 有 给 予 帮 助 的 人 表示 最 诚挚 的 谢意 。 


首先 ,感谢 爱 妻 素 英 ， 谢 谢 你 一 直 以 来 相信 我 、 默 默 支 持 我 ， 你 的 微笑 是 我 的 能 量 之 源 。 还 要 
感谢 我 的 两 个 宝贝 儿子 浩 俊 、 姜 宪 ,你们 的 陪伴 让 疲劳 烟消云散 ， 让 我 心里 始终 充满 幸福 。 还 有 我 
的 父母 ， 你 们 总 是 关心 着 我 和 我 的 工作 。 正 是 你 们 给 了 我 战胜 一 切 困难 的 勇气 ， 囊 心 感谢 你 们 。 


其 次 ， 要 感谢 崔 景 哲 先生 ,您 的 称赞 与 鼓励 一 直 激励 着 我 写 完全 书 。 还 要 感谢 韩 昌 圭 先 生 与 
郑 宽 镇 先生 , 两 位 前 辈 写 的 推荐 词 使 本 书 增色 不 少 。 我 早 在 动笔 时 就 嘱托 二 位 为 本 书写 推荐 语 了 。 
请 一 定 允 许 我 为 两 位 的 新 书写 推荐 词 。 

再 次 ， 向 Insight 出 版 社 的 韩 基 晟 社 长 以 及 所 有 员工 ， 特 别 是 赵 岩 熹 编辑 表示 最 诚挚 的 谢意 。 
他 将 一 块 粗糙 的 原石 打磨 成 了 珍贵 的 宝石 ， 我 以 后 写 书 也 会 无 条 件 请 他 负责 。 

最 后 ， 对 关注 本 书 的 同事 、 公 司 实习 生 ， 以 及 博客 访客 们 表示 感谢 。 你 们 总 是 热心 地 询问 : 
“什么 时 候 出 书 啊 ? ”你 们 的 关心 最 终 促成 我 写 完全 书 。 还 要 感谢 购买 本 书 的 读者 们 ， 你 们 的 梦 
想 与 热情 一 直 鼓 舞 着 我 。 

李 承 远 


Www.reversecore.com 
reverscore@ gmail.com 
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第 1 章 关于 逆向 工程 


1.4 逆向 工程 


道 向 工程 (Reverse Engineering， 简 称 RE ) 一 般 指 ， 通 过 分 析 物 体 、 机 械 设 备 或 系统 ， 了 解 
其 结构 、 功 能 、 行 为 等 ， 掌 握 其 中 原理 并 改善 不 足 之 处 、 添 加 新 创意 的 一 系列 过 程 。 


1.2 ”代码 逆向 工程 


代码 逆向 工程 (Reverse Code Engineering， 人 简称 RCE ) 是 逆向 工程 在 软件 领域 中 的 应 用 ， 目 
前 还 没有 准确 而 统一 的 术语 ， 实 际 交流 中 经 常 出 现 混用 的 情况 ， 常 用 术语 有 RCE、RE、 逆 向 工 
程 等 ， 使 用 起 来 较为 随意 。 

本 书 中 将 统一 使 用 RCE、RE， 或 为 了 方便 起 见 ， 直 接 使 用 逆向 工程 、 逆 向 分 析 等 表达 。 从 
个 人 的 喜好 来 说 ， 我 更 喜欢 使 用 “分 析 ” 或 “深入 分 析 ” 这 样 的 词语 ， 后 续 内 容 中 将 大 量 出 现 ， 
因为 对 软件 的 逆向 工程 实质 就 是 对 软件 进行 深入 细致 的 分 析 。 


1.2.1 逆向 分 析 法 


分 析 可 执行 文件 时 使 用 的 方法 大 致 分 为 两 种 : 静态 分 析 法 和 动态 分 析 法 。 

1. 静态 分 析 法 

静态 分 析 法 是 在 不 执行 代码 文件 的 情形 下 ,对 代码 进行 静态 分 析 的 一 种 方法 。 静态 分 析 时 并 
不 执行 代码 ， 而 是 观察 代码 文件 的 外 部 特征 ， 获 取 文件 的 类 型 (EXE、DLI、DOC、ZIP 等 )、 大 
IN, PEIRE Import/Export API、 内 部 字符 串 、 是 否 运 行 时 解压 缩 、 注 册 信 息 、 调 试 信息 、 数 
字 证 书 等 多 种 信息 ， 如 图 1-1 所 示 。 此 外 ， 使 用 反 汇 编 工具 ( Disassembler ) 查看 内 部 代码 、 分 析 
代码 结构 也 属于 静态 分 析 的 范畴 。 

我 们 通过 静态 分 析 方 法 会 获得 多 种 信息 , 这 些 信息 是 进行 动态 分 析 的 重要 参考 资料 ,对 代码 
的 动态 分 析 非 常 有 帮助 。 

2. 动态 分 析 法 

动态 分 析 法 是 在 程序 文件 的 执行 过 程 中 对 代码 进行 动态 分 析 的 一 种 方法 , 它 通过 调试 来 分 析 
代码 流 ， 获 得 内 存 的 状态 等 。 通 过 动态 分 析 法 ,我 们 可 以 在 观察 文件 、 注 册 表 (Registry )、 网 络 
等 的 同时 分 析 软 件 程序 的 行为 ， 如 图 1-2 所 示 。 此 外 ， 动 态 分 析 中 还 常常 使 用 调试 器 ( Debugger) 
分 析 程 序 的 内 部 结构 与 动作 原理 。 

我 在 逆向 分 析 代 码 时 , 通常 先 采用 静态 分 析 法 收集 代码 相关 信息 , 然后 通过 收集 到 的 信息 推 
测 程序 的 结构 与 行为 机 制 。 这 些 推测 对 动态 分 析 具 有 非常 高 的 参考 价值 , 能 为 动态 分 析 提 供 很 多 
创意 。 对 程序 代码 进行 逆向 分 析 的 过 程 中 ,灵活 使 用 静态 与 动态 两 种 分 析 方 法 ,动静 结合 ， 可 以 
极 大 地 提高 代码 的 分 析 效 率 ， 增 加 分 析 的 准确 性 ， 缩 短 代 码 分 析 时 间 。 
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态 分 析 工 具 
逆向 分 析 的 方法 多 种 多 样 ,实际 的 代码 逆向 分 析 过 程 中 通常 会 同时 使 用 多 种 分 析 方法 。 
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代码 。 虽 然 代码 调试 在 代码 逆向 分 析 过 程 中 


动 
试 


调 


图 1-2 


析 就 是 
占据 很 大 比重 ,也 十 分 有 意思 ,但 它 只 是 代码 逆向 分 析 的 一 个 从 属 概 念 。 请 记 住 ,代码 


逆向 分 


有 人 会 误 认 为 代码 


提示 
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1.2.2. 源 代 码 、 十 六 进 制 代 码 、 汇 编 代 码 


代码 逆向 分 析 的 主要 对 象 是 可 执行 文件 ， 没 有 源 代 码 的 情况 下 分 析 可 执行 文件 的 二 进 制 代 
码 。 因 此 ， 掌 握 程序 源 代码 与 二 进 制 代 码 之 间 的 关系 将 有 助 于 理解 代码 的 逆向 分 析 过 程 。 

下 面 构建 一 段 C++ 代 码 来 学 习 源 代码 、 十 六 进 制 代码 、 汇 编 代码 之 间 是 如 何 转换 的 。 

源 代码 (Source Code) 

如 图 1-3 所 示 , TE Visual C++ 和 集成 开发 环境 中 编写 helloworld.cpp 源 代码 后 ,执行 菜单 栏 中 的 “ 生 
成 ”( Build ) 命令 ， 将 程序 代码 编译 成 helloworld.exe 可 执行 文件 。 


[ eo HelloWorld - Microsoft Visual Stu deos i) 








4 T HelloWorld 


ig BRE 
4. D 源 文件 
€ HelloWorld.cpp 
Cg 资源 文件 
La 头 文件 

















图 1-3 Visual C++ 


十 六 进 制 代 码 (Hex Code) 
把 程序 源 代 码 编译 为 0 和 1 组 成 的 二 进 制 (Binary ) 可 执行 文件 后 ， 计 算 机 就 能 够 很 好 地 识别 


它 ， 但 即便 是 逆向 工程 专家 也 很 难 理解 它们 的 含义 。 把 二 进 制 代码 文件 转换 为 十 六 进 制 ( Hex ) 
代码 文件 后 ， 数 字 位 数 随 之 减少 ， 我 们 查看 代码 时 要 相对 容易 些 。 如 图 1-4 所 示 ，Hex Editor 是 一 
个 简单 易 用 的 工具 ， 使 用 它 可 以 轻松 地 把 二 进 制 文件 转换 为 十 六 进 制 文件 。 

图 1-3 的 方 框 中 是 一 个 名 为 tmain 的 函数 源码 , 它 在 编译 后 转换 为 十 六 进 制 代 码 的 形式 , 如 图 
1-4 所 示 ( 方 框 内 的 部 分 )。 比 较 转 换 前 后 可 以 发 现 ， 变 化 是 非常 大 的 。 
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Block: 400-416 Length: 17 i 
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图 1-4 Hex Editor 


汇编 代码 (Assembly Code) 
对 我 们 而 言 ， 十 六 进 制 代码 仍然 不 够 直观 。 与 十 六 进 制 代码 相 比 ， 汇 编 代 码 更 利于 理解 。 下 
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面 仍 以 helloworld.exe 程 序 为 例 ， 查 看 一 下 它 对 应 的 汇编 代码 ， 首 先 用 调试 器 打开 它 。 
图 1-5 是 程序 的 调试 界面 ， 图 1-4 中 的 十 六 进 制 代码 经 过 反 汇编 后 转换 为 汇编 代码 ， 方 框 中 的 


汇编 代码 对 应 图 1-3 中 的 _tmain() 函 数 。 











||. 68 78924089 |PUSH 09489278 
i|- 68 n092,088 PIS 00409208 


óA 00 PUSH à 

. FF15 En805000 pe DWORD PTR DS:[C&USER32.MessageBoxWdL Hessagt 
33c0 XOR EAX,EAX [ 

LL] 


Ju SHORT 90401021 
PREFIX REP: 
TN 


JMP 00501160 
MOU EDI,EDI 
PUSH EBP 
MOU EBP,ESP 
anaa loun ninnn OTN neri 





49| 0008680011 
02212840 








P 02212890 
4 i 5 





在 代码 的 逆向 分 析 中 ， 我 们 经 常会 像 这 样 把 待 分 析 的 代码 转换 为 汇编 代码 后 再 分 析 。 


1.2.3 “ 打 补丁 ”与 “破解 ” 

对 应 用 程序 文件 或 进程 内 存 内 容 的 更 改 被 称 为 “ 打 补 丁 ”( Patch ),“ 破 解 ”( Crack ) SHS 
义 类 似 , 但 后 者 的 意图 是 非法 的 、 不 道德 的 ， 故 有 所 区 分 。 微 软 的 Windows 更 新 就 是 一 个 “ 打 补 
T” BAF. 显然 , 打 补 丁 的 主要 目的 在 于 修复 程序 漏洞 ; 反之 , 破解 是 对 著作 权 的 一 种 侵害 ( aE 
法 复制 、 使 用 等 )。 

学 习 软 件 逆向 工程 技术 的 人 首先 要 明白 ， 它 是 一 柄 双 刃 剑 ， 像 其 他 技术 ( 大 部 分 科学 技术 ) 
一 样 ， 如 果 被 恶意 使 用 ， 它 就 会 损害 其 他 人 的 合法 权益 ,所 以 学 习 逆向 技术 必须 先 培养 伦理 道德 
意识 ， 提 高 个 人 的 道德 修养 水 平 。 

提示 一 一 一 
本 书 不 涉及 正版 软件 的 破解 方法 ， 主 要 讲解 北向 技术 原理 、OS 内 部 体系 结构 等 


内 容 。 


1.3 ”代码 逆 向 准备 
进行 代码 逆向 分 析 前 ， 需 要 准备 好 目标 ( Goal )、 激 情 (Passion), ik (Google )。 


1.3.1 目标 


首先 要 回答 自己 为 什么 学 习 代 码 逆 向 分 析 技 术 。 这 并 不 需要 多 么 华丽 、 宏 大 的 理由 ,不管 何 
种 原因 , 只 要 理由 充分 就 可 以 了 。 最 重要 的 是 , 你 的 理由 一 定 要 明确 。 在 学 习 这 条 艰辛 的 道路 上 ， 
明确 的 目标 会 不 断 鼓 励 你 前 行 ， 为 你 指引 方向 。 确定 目 标 后 ,把 它 写 在 书 的 封面 上 ,字体 要 大 一 
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些 、 醒 目 一 些 ,这 样 每 次 拿 出 书 准 备 学 习 的 时 候 ， 就 会 把 目标 深 深 地 印 在 心中 。 同 时 在 书 的 封底 
写 上 “我 的 目标 达成 了 吗 ? ” 读 完 全 书 的 时 候 看 到 这 句 话 , 我 们 就 会 自觉 检查 目标 完成 率 。 显 然 ， 
带 有 明确 目的 比 盲目 学 习 效 果 要 好 很 多 。 


13.2 ”激情 


在 达成 目标 的 道路 上 推动 我 们 不 断 前 行 的 力量 ( 能 量 ) 就 是 激情 。 学习 代 码 逆 向 分 析 技 术 的 
过 程 中 ， 有 时 候 会 遇 到 挫折 ， 让 人 感到 厌倦 ， 这 可 能 会 让 我 们 暂停 学 习 。 不 过 ， 只 要 保持 对 逆向 
分 析 技 术 的 激情 ,我 们 就 不 会 放弃 ， 而 会 再 次 挑战 。 通 过 一 次 又 一 次 的 尝试 , 我 们 最 终 会 成 为 代 


码 逆 向 分 析 专 家 。 
133 ”谷歌 
毫 无 疑问 ， 谷 歌 是 这 个 世界 上 最 棒 的 搜索 引擎 。 谷 歌 搜索 引擎 如 图 1-6 所 示 。 
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图 1-6 谷歌 搜索 引擎 


使 用 搜索 引擎 前 ， 请 先 相 信 这 样 一 句 话 :“ 我 想 找 的 任何 东西 都 能 在 谷歌 上 找到 !” 事 实 上 ， 
某 个 人 已 经 在 几 年 前 学 习 过 我 们 要 学 习 的 内 容 了 , 并 且 这 几 年 间 又 有 很 多 人 搜索 过 。 所 以 ， 只 是 
暂时 查 不 到 ， 而 不 是 不 存在 。 


1.4 学 习 逆 向 分 析 技 术 的 禁忌 
下 面 了 解 一 下 代码 逆向 分 析 学 习 过 程 中 的 几 点 禁忌 。 
144 贪心 


与 其 他 IT 技术 相 比 ,代码 逆 向 技术 对 我 们 来 说 还 是 个 比较 陌生 的 领域 。 开 始 会 遇 到 大 量 陌生 
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的 概念 ， 这 些 都 不 可 能 一 下 子 掌握 。 要 习 得 一 种 知识 ,往往 需要 大 量 的 基础 知识 做 铺垫 ， 而 学 习 
这 些 基础 知识 又 需要 大 量 的 背景 知识 。 如 果 是 初学 者 就 想 掌 握 所 有 内 容 , 那么 会 在 学 习 时 陷入 痛 
若 的 泥潭 。 刚 开始 要 循序 渐进 ,“ 嗯 ， 先 学 这 些 概 念 吧 ， 其 他 慢 慢 学 。” 这 才 是 学 习 逆 向 技术 的 正 
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闭 回 分 析 技 术 涵盖 的 内 容 很 多 ， 学 习 过 程 中 有 时 会 出 现 这 样 的 想法 :“ 我 学 习 道 向 分 析 技 术 
都 几 天 了 ， 怎 么 到 现在 连 这 种 问题 都 解决 不 了 ! ”有些 问题 还 解决 不 了 是 正常 的 。 用 吃 的 打 个 比 
方 ， 逆 向 分 析 技 术 不 是 快餐 ( Fast food )， 而 是 有 益 于 健康 的 慢 餐 (Slow food )。 做 起 来 要 花费 相 
当 长 的 时 间 , 需要 足够 的 耐心 。 只 要 熬 过 了 这 段 等 待 的 时 间 , 谁 都 可 以 成 为 优秀 的 逆向 分 析 专 家 。 


15 逆向 分 析 技 术 的 乐趣 


代码 逆向 分 析 过 程 中 ,由 高 级 语言 (如 : C++. VB. Delphi% ) 编写 的 程序 会 先 被 转换 为 低 
级 语言 (Assembly ) 的 形式 ， 然 后 再 加 以 分 析 研 究 。 这 样 ， 即 使 程序 的 开发 者 未 公开 程序 源码 ， 
只 提供 了 程序 的 可 执行 文件 ,有 实力 的 逆向 分 析 人 员 也 能 掌握 程序 的 内 部 组 成 结构 。 换 言 之 ,对 
极 少数 人 来 说 ， 程 序 的 源码 是 一 览 无 余 的 ， 这 也 正 是 学 习 逆向 分 析 技 术 的 乐趣 所 在 吧 ! 

不 懂 的 东西 总 是 看 上 去 很 难 , 而 了 解 其 运行 原理 与 内 部 结构 后 ， 又 发 现 原来 如 此 简单 ， 世 间 
万 物 尼 通 此 理 。 当 然 ,“ 了 解 ”这 个 词 包含 了 许多 内 容 ， 所 以 只 是 刚 开 始 比较 辛苦 而 已 。 后 面 章 
节 会 结合 示例 讲解 , 希望 大 家 亲自 尝试 , 体验 逆向 分 析 技 术 的 魅力 ( 本 书 用 到 的 示例 文件 与 源 代 
人 码 可 在 http:/www.reversecore.com 或 http://blog.insightbook.co.kr 下 载 ). 


*823& jZ[sJ2hirHello World! f£ F> 


“Hello World!” 程 序 大 概 是 世界 上 最 有 名 的 程序 了 ， 下 面 调 试 “Hello World!” 程 序 来 开始 学 
习 道 向 分 析 技 术 的 旅程 ,希望 大 家 能 从 中 切身 体验 到 逆向 分 析 的 乐趣 。 


2.1 Hello World! 程 序 


学 过 编程 的 人 编写 的 第 一 个 程序 大 概 都 是 “Hello World!" , 
如 图 2-1 所 示 。 这 个 程序 非常 简洁 ， 每 当 看 到 “Hello World!” BJ 
源码 , 都 会 让 人 回想 起 初次 学 习 编 程 语言 的 情景 , 以 及 当时 成 功 
运行 时 的 感动 与 兴奋 。 下 面 ， 我 们 也 将 通过 逆向 分 析 “Hello 
World!” 程 序 来 开始 学 习 ， 它 非常 简单 ， 很 适合 做 入 门 例题 。 
首先 在 Visual C++ 中 打开 HelloWorld 项 目 ， 如 图 2-2 所 示 。 图 2-1 HelloWorld.exe 运 行 界面 
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图 2-2 HelloWorld.cpp 
在 工具 栏 的 “解决 方案 配置 ”中 选择 “Release”, 在 “生成 ”菜单 中 单 击 “ 生 成 HelloWorld”，, 
即 可 创建 出 HelloWorld.exe 可 执行 文件 ( 选择 “Release” 模 式 生 成 可 执行 文件 ， 将 使 程序 代码 更 
加 简洁 ， 方 便 调试 )。 


提示 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
不 熟悉 Visual C++ 开发 工具 的 读者 可 省 略 上 述 创 建 过 程 ， 直 接 使 用 提供 的 HelloWorld 
exe 文件 。 


调试 器 与 汇编 语言 A 
如 上 所 示 ， 借助 Visual C++ 开发 工具 ， 我 们 可 以 轻松 地 将 HellowWorld.cpp 源 码 编译 成 
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HelloWorld.exe 可 执行 文件 。HelloWorld.cpp 源 码 文件 是 用 C 语 言 编 写 的 ， 我 们 很 容易 理解 它 ; 而 
HelloWorld.exe 可 执行 文件 是 二 进 制 文件 ， 计 算 机 很 容易 读 懂 并 执行 。 分 析 二 进 制 文件 时 ， 为 了 
更 好 地 读 懂 它 , 常常 要 使 用 调试 器 ( Debugger ) 实用 工具 。 lide P Poux T Ici hi ( Disassembler ) 
模块 ， 借 助 它 我 们 可 以 把 二 进 制 代 码 转换 为 汇编 语言 ( Assembly ) 指令 代码 。 
提示 
不 论 是 用 哪 种 语言 编写 的 程序 ， 编 译 后 都 会 生成 二 进 制 的 可 执行 文件 。 借 助 调 试 
器 我 们 可 以 把 任意 一 种 可 执行 文件 转换 为 汇编 语言 代码 ， 因 此 ， 代 码 逆 向 分 析 人 员 必 
须 掌 握 汇 编 语言 。 只 要 掌握 了 汇编 语言 ， 就 能 通过 调试 的 方式 分 析 可 执行 程序 ， 而 不 
用 考虑 程序 是 用 哪 种 语言 编写 的 。 
汇编 语言 依赖 于 CPU。 广 泛 用 于 PC 的 Intel x86 系列 CPU 和 移动 产品 中 常用 的 
ARM 系列 CPU 就 具有 不 同形 态 的 汇编 指令 。 


2.2 调试 HelloWorld.exe 程序 


22.4 调试 目标 


调试 (Debugging ) HelloWorld.exe 可 执行 文件 ， 在 转换 得 到 的 汇编 语言 代码 中 查找 main() 函 
数 。 这 一 过 程 中 ,我 们 要 了 解 基本 的 调试 方法 和 汇编 指令 。 


2.2.2 ”开始 调试 
首先 使 用 OllyDbg 调 试 工具 打开 HelloWorld.exe 程 序 ， 如 图 2-3 所 示 。 


| 181162 kernel32.8aseThreadlmd 

ECX 00000088 | 

EDZ 0001180 HelloWor.cCHoduleEnteu? 
E E8X 7FFDCOOU 
. EC 28030000 [SUB ESP ,328 i ESP 0012FF8C 
. R3 S8ADAOOO | MOU DWORD PTR DS:[58RD58],EAX | kernel32.BaseThr |Egp 0012FF95 
+ 8900 54AD4000 mov Lese PTR e [986054], ECX f EH ganoosco 


` 8915 50AD4000 zLh08p5 0] , | HelloWor .<Hodule | 
(2) 寄存 器 窗口 ”| 


CS 0018 32bit O(FFFFFFFF) 
SS 0023 32bit 8(FFFFFFFF) 
DS 0023 32bit B(FFFFFFFF) i 
z: i FS @03B 32bit ZFFDF 000(FFF) 
~ 66:8C25 en š , i GS 0000 HULL 1 
x 88: 8C20 3^RDAO00 | n WORD PTR DS:[ M8AD3N] ,05 i 


LastErr ERROR ACCESS DENIED qi 


Š Ts 68ñDs000 ie DWORD PTR DS:[49AD68] | z Í 
B45 08 MOU ERX,DWORD PTR SS:[EBP] l .|tft 6080286 (NO, NB. EF ,DE,NS, PE, GE J| 
STO empty 9.9 | 

ST1 enpty 8.0 

512 empty 98.6 





$1 $0 00 GN AE Có h@ DD Bi 1 1 TEI] 7FFDCUBB| 

9? 08 oa og 98 86 48 08 os 0 =a 8842FF9| 0042FFDN 

09 0^ 00 00 ^0 86 a 8 ical 772983F5 RETURN to ntdl1.772983F5 
18 AA 80 90 7C 85 4 

32 Bü 80 00/28 85 la 2. "FR8| (4) 栈 窗口 

18 00 UD 09 Ch 8 " 

18 09 00 00,65 Bh 4O 86 18 00 UG O0/2C Sh hf EN 

1€ Q0 00 86,04 8^ 4O 00 1E 00 60 OD CA 83 4B 1 5 8812FF6C zrrocana 








图 2-3 ”OllyDbg 基 本 界面 


10 $23 北向 分 析 Hello World! ££ j- 


tz" OllyDbg: http://www.ollydbg.de 
R= 
e 代码 逆向 分 析 人 员 分 析 程 序 文件 时 一 般 是 没有 源 代码 的 ， 他 们 只 有 程序 的 可 执 
行文 件 ， 分 析 时 需要 使 用 OllyDbg 这 类 强大 的 Win32 专业 调试 工具 。 
€ OllyDbg 是 一 种 强大 的 Win32 调试 工具 ， 用 户 界面 直观 、 和 简洁， 支持 插件 扩展 功 
， 能， 用户 可 以 免费 下 载 。 它 体积 小 , 运行 速度 快 ， 很 多 逆向 分 析 人 员 都 喜欢 使 用 。 
e 你 的 逆向 分 析 技 术 达 到 一 定 水 平 后 ， 我 建议 使 用 Hex-Rays 公司 的 IDAPro， 它 
是 一 个 非常 棒 的 反 编 译 工具 ， 提 供 了 众多 实用 的 调试 功能 ， 但 它 是 一 个 付费 软 
件 ， 性 能 越 强 大 需要 支付 的 费用 也 越 高 。 





图 2-3 为 OllyDbg 调 试 工具 的 运行 界面 ， 后 面 的 程序 调试 过 程 中 我 们 会 经 常见 到 。 调 试 前 ， 先 
简单 介绍 一 下 图 2-3 中 的 OllyDbg 调 试 工具 运行 界面 。 


代码 窗口 默认 用 于 显示 反 汇编 代码 ， 还 用 于 显示 各 种 注释 、 标 签 ， 分 析 代 码 时 显示 循环 、 跳 转 位 置 等 信息 
寄存 器 窗口 实时 显示 CPU 寄存 器 的 值 ， 可 用 于 修改 特定 的 寄存 器 

数据 窗口 以 Hex/ASCIIUnicode 值 的 形式 显示 进程 的 内 存 地 址 ， 也 可 在 此 修改 内 存 地 址 

栈 窗口 实时 显示 ESP 寄 存 器 指向 的 进程 栈 内 存 ， 并 允许 修改 


223 ADA 
调试 器 停止 的 地 点 即 为 HelloWorld.exe 执 行 的 起 始 地 址 ( 4011A0 ), 它 是 一 段 EP ( EntryPoint, 
入 口 点 ) 代码 ， 其 中 最 引 人 注 意 的 是 CALL 与 JMP 两 个 命令 ， 如 下 所 示 。 


Address Instruction Disassembled code comment 


004011A0 E8 67150000 CALL 0040270C ; 0040270C (调用 49246C 处 的 函数 ) 
004011A5 E9 A5FEFFFF JMP 0040104F ; 0040104F ，( 跳 转 至 49104F 地 址 处 ) 
地 址 进程 的 虚拟 内 存 地 址 (Virtual Address, VA) 
指令 IA32 (或 x86) CPU 指令 
反 汇 编 代 码 将 OP code 转 换 为 便于 查看 的 汇编 指令 
注释 调试 器 添加 的 注释 (根据 选项 不 同 ， 显 示 的 注释 略 有 不 同 ) 


上 面 两 行 汇编 代码 含义 非常 明确 。 
“ 先 调 用 ( CALL) 40270C 地 址 处 的 函数 ， 再 跳 转 至 (JMP ) 40104F 地 址 处 。” 


接 下 来 继续 调试 , 请 记 住 , 我 们 的 目标 是 在 main() 函 数 中 找 出 调用 MessageBox() 函 数 的 代码 。 


EP (EntryPoint, ARA) —— n s ——T 
EP € Windows 可 执行 文件 (EXE, DLL. SYS 等 ) 的 代码 入 口 点 ， 是 执行 应 用 程 
序 时 最 先 执行 的 代码 的 起 始 位 置 ， 它 依赖 于 CPU, 


2.2.4 跟踪 40270C 函 数 
正式 调试 前 ， 先 熟悉 一 下 OllyDbg 基 本 指令 的 使 用 方法 。 
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OllyDbg 基 本 指令 〈 适 用 于 代码 窗口 ) 





# 仿 快捷 键 Ê xX 
Restart Ctrl+F2 重新 开始 调试 〈 终 止 正在 调试 的 进程 后 再 次 运行 ) 
Step Into F7 执行 一 句 OP code (操作 码 )， 若 遇 到 调用 命令 (CALL)， 将 进入 函数 代码 内 部 
Step Over F8 E UE (操作 码 )， 若 遇 到 调用 命令 (CALL)， 仅 执行 函数 自身 ， 不 跟随 
进入 


Execute till Return ”CtrltF9 ”一 直 在 函数 代码 内 部 运行 ， 直 到 遇 到 RETN 命 令 ， 跳 出 函数 
在 EP 代码 的 4011A0 地 址 处 使 用 Step Into(F7) 指 令 ， 进 入 40270C 函 数 ， 如 图 2-4 所 示 。 














. 83EC 18 
. A1 curn: EX buono en EIR pas 49n6041 
7 . 8365 FC 00 AND DWORD PTR EH: -41. à 
1 53 PUSH EBX 
. 5? PUSH EDI 
+ BF 4EE640BB | HOU EDI,BB4OEC4E 
. BB 8080FFFF | HOU EBX,FFFFGGOD 
. SBC? CHP ERX,EDI 
iv P4 0D JE SHORT 00402732E ] 
. 8503 TEST EBX,ERX kernelS2.BaseThreadIn itThunl 
vv 74 09 JE SHORT 0040273E 
. F?Dà NOT kernel82.BaseThreadInitThunl 
"||. R3 68R94969 | MOU DWORD PTR DS: [40R0081,ERX kernelS2. BaseThreadIn itThunl 
EB 60 JMP T 00040279E 
56 PUSH ESI 
. 8D45 F8 LER EAX, DWORD PTR SS:LEBP-81 
. PUSH ERX CE ileTime = kernel32.BaseTh: 
. FF1S 8C89. CALE DWORD PTR DS: [«&KERNEL32. Get$ GetSystenT inesish i leTime 
. 8B75 FC MOU ESI, | PTR SS: [| 3 
4gev4c||. 3375 F8 WOR ESI PTR SS: [EBP-81 kernel32, IM a 
: FF15 8880400 CALE DWORD PTR DS:[«$KERNELS2. Get: Chet Currentrroces 
Sjj. 33F6 XOR ESI, EAX kerne (32, Bas: S ThzeadInitThuni 
7 » FF15 6c80400( CALE DUDRD PTR DS:[«$KERNELS2, Get bises Ca AERE 
2 . 33F8 XOR ESI,ERX kernelS2.BaseThreadInitThunl 
»  FF15 CALE DWORD PTR DS:[X&KERNEL32. Secl coe Tick Count 
. 33F0 XOR ESI,ERX e132. BaseThreadIn itThunl 
. 8045 F8 UR EAX, DWORD PTR.SS:IEBP-181 
. 58 PUSH EAX CE pPerformanceCount = kernel3: 
» FF1S 84804001 CALL DWORD PTR DS:[48KERNEL32. Qued LuervPertornanceCounter 
. 4 MOU EAX, Dill BR. use Hel loor. 004011A5 
2774|]. 3345 Fø XOR EAX, Ë LEBP-101 
asra XOR ESI,ERX kernelS32.BaseThreadIn itThunl 
Id CHP ESI,EDI 
.v 75 87 所 
. BE 4FE640BB | HOU ESI,BB40E64F 
v EB OB JMP T 
7 S5F3 TEST EBX,ESI 
2rBe|.« 75 07 JE SHORT 8840278F 
5 MOU ERX,ESI 
. CiE@ 10 SHL ERX, 18 
. BFA DR ESI, EAX kernel32.BaseThreadInitThunl 
8935 04n8400| HOU DURO PTR DS: [40A004], ESI 
95||. F706 NOT ESI 
. 8935 98| MOU DWORD PTR DS:[40R88081,ESI 
5E POP ESI Hellollor.00401185 
5F POP EDI Hel Lobor, 00401105 
. BB POP EBX HelloWor. 00401105 
. C9 LERUE 
Ere . C8 


É2-4 ”40270C 函 数 


这 是 一 段 看 上 去 有 些 复杂 的 汇编 代码 。 由 于 大 家 尚未 掌握 汇编 语言 ， 所 以 暂时 无 法 全 部 理解 
这 段 汇编 代码 的 含义 。 现 在 不 理解 没关系 ,不 用 担心 ， 随 着 学 习 的 不 断 深入 ， 大 家 慢 慢 就 会 熟悉 
它 ， 并 理解 它 代表 的 含义 (我 刚 开始 学 的 时 候 就 是 这 样 的 ， 请 大 家 相信 我 )。 

图 2-4 最 右 侧 区 域 中 是 OllyDbg 的 注释 ， 其 中 红字 部 分 是 代码 中 调用 的 API 函 数 名 称 ， 在 注释 
部 分 只 看 被 调用 的 API 函 数 名 称 就 可 以 了 。 它 们 并 不 是 我 们 在 源 代码 中 调用 的 函数 ， 也 不 是 我 们 
要 查找 的 main0 了 函数。 其实， 这 些 函 数 是 Visual C++ 为 了 保证 程序 正常 运行 而 自动 添加 (我 们 的 
源码 中 并 没有 ) 的 Visual C++ 启动 函数 ( Stub Code， 根 据 不 同 的 编译 器 类 型 与 版 本 ， 启 动 函 数 也 
会 有 所 不 同 )。 现 在 并 不 需要 关注 它们 ， 我 们 的 目标 是 main0 函 数 ， 接 下 来 继续 查找 。 


提示 





刚 开 始 学 习 时 可 以 先 忽略 Win32 API 函数 ( OllyDbg 注释 中 的 红色 API 函数 调用 部 
分 )， 因 为 它们 很 容易 让 人 产生 困惑 ， 直 接 按 Step over(F8) 命 令 跳 过 即 可 。 





4027A1 地 址 处 有 一 条 RETN 指 令 ， 它 用 于 返回 到 函数 调用 者 的 下 一 条 指令 ,一 般 是 被 调用 函 
数 的 最 后 一 句 , 即 返回 4011A5 地 址 处 ,如 图 2-3 所 示 。 在 4027A1 地 址 处 的 RETN 指 令 上 执行 Step over 
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( F8 ) 或 Execute till Return(Ctrl+F9) 命 令 , 继续 操作 。 按 F7/F8 执 行 RETN 指 令 会 跳 转 到 4011A5 
地 址 处 ， 如 图 2-3 所 示 ( 这 与 C 语 言 中 .调用 函数 然后 返回 到 调用 处 的 下 _ 条 a e 


2.2.5 ”跟踪 40104F 跳 转 语句 


如 图 2-3 所 示 ， 执 行 4011A5 地 址 处 的 跳 转 命令 JMP 0040104F ， 跳 转 至 40104F 地 址 处 ， 结 果 如 
图 2-5 所 示 。 





68 D0934090 | P 984093D9 
48 ES C91 CALL 00402524 
09401058 BS 4DSRO0000 |MOU EAX, SA40 
09461060 66:3905 9000] CMP WORD PTR DS: 14000001, AX 
90401067] .v| 75 38 Nc SHORT 004010A1 
80401069| . | A1 3C004000 |MOU RD PTR DS:[480003CJ 
0240106E| . |8188 CORDON RE DWORD PTR DS: LER AQODOG] , 4558 
9840107393] .v| v5 27 EE SERI 584616R1 
994010706 . |B9 GBO10000 ECX, 188 
ea4elavF| . |66:3988 18800. Eid WORD PTR DS:LERX*4000182,CX 
00401085] .v| ?5 19 2 SHORT 664 
0994081098 . | 8988 74004001 ene DWORD PTR DS: LERX*4000741, GE 
O940199F| .~| v6 1e JBE SHORT 88481081 
9989401091] . |3309 XOR ECX, ECX 
00401093) . | 3988 E889498| CMP DWORD PTR DS: [EAX+4000E8],ECX 
9060401099] . | GF95C1 
Ba4ela9c| . | 894D E4 MOU DWORD PTR SS: LtEBP-1C3, ECX 
90940109F] ,v| EB 04 JME SHORT 004010AS 
0040101 > |8365 E4 OO |AND DWORD PTR SS: CEBP=1C], 0 
PIE > |6A 01 PUSH 1 (s 6696869 
818A7| . | ES 48140000 |CALL 064624F4 He tollo Ko 
0049168 . [59 POP ECX Kérnel32. 75041174 
B04218RD| . | 85c TEST EAX, EAX 
00401008F| .«| 75 08 JNZ SHORT 00401089 
0040901981  . | 6A 1C PUSI 
0089401083 . | ES 6EFFFFFF |CALL 65491026 
B94618B8) . |59 POP ECX kerne l32. 75041174 
09401282; > | ES A9120000 |CALL 00402367 
B34818EE| . | 85C0 TEST ERX,ERX 
aa4oloCo) ..| ?5 G8 JHZ SHORT 0804010CR 
884818C2| . | 6A 10 PUSH 18 
59842310C4| . | E3 SDFFFFFF |CALL 00401026 
9eoa4oloC3| . |59 POP ECX kernel32.75C41174 
04216CA| > | ES SCOEGBOG |CRLL 89491F9B 
Ga4G1GCF| . | 8365 FC 09 |AND DWORD PTR SS:LEBP-41,0 
Ə04010D3] . | ES DFƏB0000 |CRLL 004901CB7 














图 2-5 40104F 地 址 处 的 部 分 代码 
代码 看 上 去 相当 复杂 ， 它 们 是 Visual C+H+ 启 动 孙 数 。 跟 踪 这 些 代码 就 能 发 现 我 们 要 查找 的 目 





提示 一 
第 一 次 接触 上 述 代 码 时 ， 你 可 能 会 对 它们 感到 非常 陌生 ， 甚 至 分 不 清 它 们 是 用 户 
代码 还 是 启动 函数 。 但 是 反复 调试 代码 的 过 程 中 你 会 发 现 ， 由 Visual C++ 编写 的 可 执 
行文 件 大 都 与 上 述 形式 类 似 。 熟 悉 了 这 些 启动 函数 后 ， 再 调试 代码 时 就 能 快速 识别 并 
跳 过 。 此 外 ， 不同 的 开发 工具 生成 的 启动 函数 不 同 ， 即 使 是 同一 种 开发 工具 ， 产 生 的 
启动 函数 也 随 版 本 的 不 同 而 不 同 。 如 果 有 额外 的 时 间 与 精力 ， 建 议 大 家 多 尝试 几 种 开 
发 工具 ， 熟 悉 并 掌握 它们 生成 的 文件 特征 。 


2.2.6 查找 main() 函 数 


从 图 2-5 的 40104F 地 址 处 开始 逐条 分 析 各 函数 调用 指令 ， 就 能 够 查找 到 我 们 要 查找 的 main() 
函数 , 虽然 这 种 方法 略 显 笨拙 , 但 这 是 初学 者 学 习 调 试 时 的 必 经 阶段 , 后 面 会 介绍 更 高 效 的 方法 。 

: l7 -M 
初学 者 在 调试 代码 的 过 程 中 使 用 StepIn(F7)/StepOver(F8) 命 令 ， 可 能 会 对 代码 感到 
困惑 ， 特 别 是 过 分 深入 到 函数 调用 中 时 ， 这 种 困惑 会 更 加 明显 。 此 时 可 以 使 用 
Restart(Ctrl+F2) 命 令 重 新 打开 待 调试 的 文件 ， 再 次 从 头 调试 。 前 面 我 们 已 经 提 到 过 ,每 
种 编译 器 产生 的 启动 函数 是 不 同 的 ， 熟 悉 这 些 启动 函数 后 ， 实 际 调试 过 程 中 可 以 快速 
跳 过 类 似 局 动 函数 的 部 分 。 就 像 刚 开 始 学 习 C 语言 时 ,编译 文件 会 遇 到 许多 错误 信息 ， 
熟悉 这 些 错误 信息 后 ， 再 次 出 现 相 同 错误 信息 时 ， 就 能 利用 之 前 的 经 验 快速 解决 问题 。 
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前 面 我 们 介绍 过 OllyDbg 的 4 种 指令 , 分 别 为 Restart Step Into, Step Over, Execute till Return, 
下 面 用 它们 来 查找 main() 函 数 。 

如 图 2-6 所 示 , 从 40104F 地 址 开始 , 每 执行 1 次 Step Into(F7) 命 令 就 下 移 1 行 代码 , 移动 到 401056 
地 址 处 的 CALL 402524 函 数 调用 指令 时 ， 执 行 Step Into(F7)tg 4, i£ 402524 PR IL 





66:3985 88805888 |CHP WORD PTR DS:T4886861.AX 


图 2-6 ”调试 40104F 








p$ 68 88254668 |PUSH 


64:FF35 80008888 | PUSH DWORD PTR FS:[8] 











80502529 
88582530 8B4424 18 MOU ERX ,DUORD PTR SS:[ESP«18] 
88482534 896C24 18 MOU DWORD PTR SS:TESP+1B] ,EBP 
08402538 8D6C24 18 LEA EBP,DWORD PTR SS:[ESP+10] 
80490253C 2BE9 SUB ESP ,ERX 

8848253E|| . 53 |PUSH EBX 

8858253F|| . 56 | PUSH ESI 

08482548 57 PUSH EDI 

88582541 A1 05004088 [MOU ERX ,DUORD PTR DS:[A48800A] 
08482556 3145 FC | XOR DWORD PTR SS:[EBP-4], EAX 
88482549 3355 | XOR EX ,EBP 

80402548 58 PUSH EAX 

89840254C 8965 E8 MOU DWORD PTR SS:[EBP-18],ESP 
0040254F FF75 F8 (PUSH DWORD PTR SS:[EBP-8] 
00402552 8B45 FC MOU EAX, DWORD PTR SS:[EBP-5] 
80282555 C745 FC FEFFFFFF | HOU DWORD PTR SS:[EBP-5],-2 
80482556 8945 F8 HOU DWORD PTR SS:[EBP-8],EAnX 
99040255F 8D45 F8 LER EAX,DWORD PTR SS:[EBP-18] 
88482562 65:03 88808888  |MOU DWORD PTR FS:[8],ERX 
80482568 c3 RETN 


图 2-7 4025240% 


正如 在 图 2-7 中 看 到 的 , 我 们 很 难 把 402524 卫 数 称 为 main() 函 数 , 因为 在 它 的 代码 中 并 未 发 现 
调用 MessageBox() API 的 代码 。 执 行 Execute till Return(Ctrl+F9) 指 令 ， 调 试 转 到 402568 地 址 处 的 
RETN 指 令 ， 然 后 使 用 Step Into(F7) ( 或 者 Step Over(F8) ) 命令 执行 RETN 指 令 ， 跳 出 402524 函 数 ， 
返回 至 40105B 地 址 处 ， 如 图 2-6 所 示 。 

同样 ， 在 40104F 地 址 处 执行 Step IntoCF7) 命 令 调 试 ， 遇 到 函数 调用 就 进入 函数 查看 代码 ( 使 
用 Step Into(F7) 命 令 )， 确 认 是 否 为 main0) 函 数 。 若 不 是 main0) 函 数 ， 则 使 用 Execute till Return 
(Ctrl+F9) 命 令 跳 出 相关 函数 ， 继 续 以 相同 方式 调试 。 调 试 过 程 中 会 遇 到 以 下 代码 ， 如 图 2-8 
所 示 。 





JGE SHORT 8854818E^ | 
PUSH 18 

CALL 00501330 | 
POP ECX 
"CALL: <JMP.6KERNEL32.GetCommandLtineu> 
MOU DWORD PTR DS:[#6988D8] ,ERX 
CALL 88501C5Rh 


图 2-8 ”调用 API 


4010E4 地 址 处 的 CALL Kernel32.GetCommandLineW 指 令 是 调用 Win32 API 的 代码 。 现 在 ， 我 
们 还 不 需要 进入 被 调用 的 函数 ， 直 接 使 用 Step Over(F8) 命 令 跳 过 。 


提示 





7D 88 
68 1B 
E8 #nD020000 


084818DA 
06848180C 
895818DE 
804818E3 
004019E4 
















E8 670B0000 





885810EE| . 


4010EE 地 址 处 是 调用 00401C5A 函数 的 指令 ， 执 行 后 进入 函数 ， 再 按 Ctrl+F9 3k 
出 函数 ， 由 于 00401C5A 函数 中 含有 循环 语 身 ， 所 以 跳出 函数 时 需要 花费 一 些 时 间 。 
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若 调试 一 切 正 常 ， 则 会 看 到 以 下 代码 ， 如 图 2-9 所 示 。 


86840112C] . 59 POP ECX 

8950112D| > A1 SCAFA808 MOU EAX,DWORD PTR DS:[48AF8C] 
084091132) . A3 98AF48688 MOU DWORD PTR DS:[48AF98],EAX 
90501137| . 58 PUSH EAX 

$9481128| . FF35 SOnF^888 PUSH DWORD PTR DS:[A8RF88] 


U040113t| . FF35 78RFh000 PUSH DWORD PTR EE [40AF78] 









ganar INS, . 83C4 BC 

0850115C . 8945 EG MOU DWORD PTR SS:[EBP-28],EAX 
B840114F| . 837D Es 08 CHP DWORD PTR SS:[EBP-1C], 98 
88401153| .. 75 86 JNZ SHORT 8858115B 





图 2-9 调用 401000 函 数 


401144 地 址 处 有 一 条 CALL 401000 指 令 ， 用 于 调用 401000 函 数 ， 使 用 Step Into(F7) 命 令 进 入 
401000 函 数 ， 如 图 2-10 所 示 。 
Ss x 








80481002 | . 68 78924880 i 

00181807||. 68 n8925088 PUSH 88509208 

3848188C || . ñ 00 [PUSH 9 

8058100E| . FF15 E4864880 |CALL DWORD PTR DS:[<&USER32.MessageBoxW>] 
085901614]| . 33C9 XOR ERX,ERX 

88501016|L. c3 RETN 


图 2-10 main) PEZ 


401000 函 数 内 部 出 现 了 调用 MessageBoxWOAPI 的 代码 , 该 API 函 数 的 参数 为 “wwwreversecore com” 
与 “Hello World!” 两 个 字符 串 。 这 与 图 2-2 中 HelloWorld.cpp 的 源码 内 容 一 致 ,由 此 可 以 断定 ,401000 
函数 就 是 我 们 一 直 在 查找 的 main() 函 数 。 

KRR Emain) KA TE? 没 找到 也 没关系 。 通 过 这 个 调试 示例 ， 主 要 想 让 大 家 对 调试 有 
一 个 大 致 的 感受 , 只 要 能 达成 这 一 目标 就 足够 了 。 如果 尚未 完全 掌握 调试 的 操作 与 步骤 也 没关系 ， 
经 过 几 次 调试 就 会 很 快 熟悉 起 来 。 后 面 会 讲解 更 多 调试 器 指令 ,它们 将 使 整个 调试 更 加 轻松 ( 初 
学 者 经 历 一 定 的 困惑 是 必 经 过 程 ， 所 以 上 面 的 调试 示例 并 未 向 大 家 详细 介绍 )。 
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2.3.1 调试 器 指令 


到 现在 为 止 ， 我 们 已 经 对 调试 有 了 大 致 印 象 ， 接 下 来 学 习 更 多 调试 指令 。 
调试 器 操作 命令 (适用 于 代码 窗口 ) 





id 3S 快捷 键 含义 
Goto Ctrl+G 移动 到 指定 地 址 ， 用 来 查看 代码 或 内 存 ， 运 行 时 不 可 用 
Execute till Cursor F4 执行 到 光标 位 置 ， 即 直接 转 到 要 调试 的 地 址 
Comment 添加 注释 
User-defined comment 鼠标 右键 菜单 Search for User-defined comment 
Label : 添加 标签 
User-defined label 鼠标 右键 菜单 Search for User-defined label 
Set/Reset BreakPoint F2 设置 或 取消 断 点 (BP) 
Run F9 运行 (车 设置 了 断 点 ， 则 执行 至 断 点 处 ) 
Show the current EIP * 显示 当前 EIP (命令 指针 ) 位 置 
Show the previous Cursor - 显示 上 一 个 光标 的 位 置 


Preview CALL/JMP address Enter 车 光标 处 有 CALL/JMP 等 指令 ， 则 跟踪 并 显示 相关 地 址 (运行 时 不 可 用 ， 
简单 查看 函数 内 容 时 非常 有 用 ) 
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232 “大 本 营 ” 


每 次 重新 运行 调试 器 时 , 调试 都 会 返回 到 EP 处 , 并 从 此 处 开始 新 的 调试 , 使 用 起 来 相当 不 方 
便 。 经 验 丰富 的 代码 逆向 分 析 专 家 需要 在 调试 代码 时 设置 某 个 重要 的 点 (地 址 )， 使 调试 能 快速 
转 到 设置 点 上 。 在 代码 中 设置 好 这 样 的 点 后 ,再 次 调试 时 ,调试 流 能 够 经 过 这 些 指 定 的 点 , 快速 
达到 目标 。 

这 些 在 代码 中 设置 的 点 就 像 在 登山 途中 设置 的 营 帐 一 样 ， 以 登 喜 马 拉 雅 山 为 例 , 登 项 过 程 中 
需要 设置 多 个 营 帐 充当 据点 ， 如 “大 本 营 ”-“ 前 进 营 1”-“ 前 进 营 2”-“ 最 终 突击 营 ”-“ 峰 
顶 ”。 同 样 ， 调 试 代码 量 非常 巨大 时 ， 整 个 调试 过 程 可 能 需要 好 几 天 时 间 ， 那 么 在 相应 位 置 上 设 
置 这 些 “ 据 点 ”将 非常 方便 调试 。 下 面向 大 家 介绍 几 种 在 代码 中 设置 “据点 ”的 方法 ， 并 学 习 如 
何 快速 转 到 这 些 “ 据 点 "”。 首 先 运行 OllyDbg， 打 开 HelloWorld.exe 可 执行 文件 并 调试 ， 将 40104F 
地 址 设置 为 basecamp ( 大 本 营 )。 


2.3.3 设置 “大 本 营 ” 的 四 种 方法 


1. Goto 命 令 

请 记 住 ,我 们 要 设置 为 “大 本 车 ”的 地 址 为 40104F。 执 行 Go to(Ctrl+G) 命 令 ， 打 开 一 个 Enter 
expression to follow ( 输入 跟踪 表达 式 ) 对 话 框 ， 如 图 2-11 所 示 ， 在 文本 框 中 输入 “40104F”， 然 
后 单 击 OK 按 钮 。 


E TU REUNIR hapo Be 


jaor 04F Y ] 





[Lok ] caca | 
图 2-11 Go to 对 话 框 


输入 地 址 单 击 OK 按 钮 后 ， 光 标 自动 定位 到 40104F 地 址 处 ， 执 行 Execute till cursor(F4) 命 令 ， 
让 调试 流 运行 到 该 处 ， 然 后 从 40104F 处 开始 调试 代码 就 变 得 非常 方便 了 。 

2. 设置 断 点 

调试 代码 时 ,还 可 以 设置 BP (Break Point， 断 点 ) ( 快捷 键 F2 ) 让 调试 流转 到 “大 本 营 "， 这 
种 方法 非常 方便 ， 也 很 常用 ， 如 图 2-12 所 示 。 





图 2-12 设置 断 点 


设置 断 点 后 ， 调 试 运行 到 断 点 处 将 会 暂停 ( 者 未 在 代码 中 设置 断 点 则 继续 调试 )。 
在 OllyDbg 菜 单 栏 中 依次 选择 View-Breakpoints 选 项 ( 快捷 键 (ALT+B) )， 打 开 Breakpoints 
对 话 框 ， 列 出 代码 中 设置 的 断 点 ， 如 图 2-13 所 示 。 





图 2-13” 断 点 
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在 断 点 列表 中 双击 某 个 断 点 会 直接 跳 转 到 相应 位 置 。 
3. 注释 
按键 盘 上 的 “;” 键 可 以 在 指定 地 址 处 添加 注释 ， 还 可 以 通过 查找 命令 找到 它 。 





09040104F 9 





68 D0934088 PUSH 08589308 















864501851 
8604581856| . | E8 C9140988 CALL 80502525 
8858105B| . | B8 &hD5R68868 MOU EAX,5A4D 
D8501060 . | 66:3905 8088850888| CHP WORD PTR DS:[406000],AX 
884801867| .. 75 38 JNZ SHORT 80581861 
8848081869 . | A1 3C004008 MOU ERX,DWORD PTR DS:[^0803C] 
8850186E| . | 81B8 80884880 50! CHP DWORD PTR DS:[EAX+400000], 45506 
88581078| ..| 75 27 JH2 SHORT 0054801081 
8850107n| . | B9 0B010000 MOU ECX,18B 
8850187F| . | 66:3988 18804008| CHP WORD PTR DS:[ERX*580018],CX 
88481886| ..|75 19 JH2 SHORT 860481881 

图 2-14 注释 


调试 过 程 中 添加 的 注释 如 同 编程 过 程 中 添加 的 注释 一 样 重要 。 如 图 2-14 所 示 ， 在 重要 代码 上 
添加 注释 将 会 使 整个 调试 变 得 非常 轻松 。 首先 移动 光标 到 男 一 个 位 置 ( 地址 40104F 之 外 的 任 一 地 
Jr), 在 鼠标 右键 菜单 中 依次 选择 Search for-User defined comment, 这样 就 能 看 到 用 户 输 入 的 所 有 
注释 ， 如 图 2-15 所 示 ( 用 户 输入 的 注释 会 被 保存 在 OllyDbg 内 部 ， 每 当 再 次 运行 时 就 会 显示 ， 调 
试 过 程 中 使 用 起 来 非常 方便 )。 


CE 








图 2-15 ”用户 的 注释 


红字 显示 部 分 即 是 光标 所 处 位 置 。 注 释 位 置 与 光标 位 置 重合 时 , 将 仅 以 红字 方式 显示 ( 所 以 
刚 开始 的 时 候 需 要 把 光标 暂时 移动 到 其 他 位 置 )。 双 击 相应 注释 ， 光 标 将 自动 定位 到 相应 位 置 。 

4. 标签 

我 们 可 以 通过 标签 提供 的 功能 在 指定 地 址 添加 特定 名 称 。 移 动 光 标 至 40104F 地 址 处 ， 按 “:” 
键 输入 标签 ， 如 图 2-16 所 示 。 


[pase camp -| 





图 2-16 标签 


这 样 就 在 40104F 地 址 处 添加 上 一 个 “basecamp” 标 签 。 在 OllyDbg 的 代码 窗口 中 可 以 看 到 
40104F 地 址 处 添加 的 标签 ， 如 图 2-17 所 示 。 











884611A86 f 20999 
8046011805 -^ E9 R5FEFFFF 
90501188 | > 8BFF 


GO4811AC |F. 55 


图 2-17 添加 的 标签 
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图 2-17 显 示 出 了 EP 代码 , 刚 开 始 只 显示 地 址 40104F， 添加 标签 后 ,代码 变 得 非常 直观 , 调试 
起 来 也 更 加 轻松 。 

R p aAa 
车 不 想 如 图 2-17 那样 显示 出 标签 ， 可 以 在 OllyDbg 的 Options 菜单 中 选择 Disasm 
选项 卡 ， 点 选 Show symbolic address 项 ， 如 图 2-18 所 示 。 


Disassembling syntax: 
(* MASM [Microsoft] 
C IDEAL [Borand) 
(7^ HLA (Randall Hyde) 
T^ Disassemble in lowercase 
[ Tab between mnemonics and arguments 
[ Extra space between arguments 
jv. Show default segments 
IV. Always show size of memory operarids 
[^ Show NEAR jump modifiers 




















Exceptions | Trace | SFX | Strings | Addresses | 


| Be | Bad Events 
Registers | Stack | Analysis 1 | Analysis 2 | Analysis 3 | 


Commands Disasm | ceu 





[ Show local module name 


[E Show sample adesse: 

















图 2-18 调试 选项 





与 注释 一 样 , 标签 也 可 以 检索 。 单 击 鼠 标 右键 ,依次 选择 Search for\User defined labels 菜 单 即 
可 打开 User defined labels 窗 口 ， 该 窗口 列 出 了 用 户 设 置 的 标签 ， 如 图 2-19 所 示 ( 名 为 Initial CPU 
selection 的 部 分 为 光标 当前 位 置 )。 


TE 











<base camp> => base camp 


图 2-19 User-defined labels 


在 User defined labels 窗 口中 双击 某 个 标签 ， 光 标 即 移动 到 相应 位 置 。 光 标 移动 到 标签 处 的 地 
址 时 ， 执 行 Execute till cursor(F4) 命 令 即 可 从 该 地 址 开始 调试 程序 。 

我 们 已 经 学 习 了 如 何 快速 转 到 指定 地 址 (basecamp ) 并 调试 ,这些 方法 在 程序 调试 中 经 常 使 
用 ， 它 们 使 整个 调试 过 程 变 得 更 加 轻松 。 和 希望 大 家 牢记 这 些 方法 并 多 加 练习 ， 直 至 熟练 掌握 。 


2.4 快速 查找 指定 代码 的 四 种 方法 


如 何在 大 量 代 码 中 快速 查找 到 指定 代码 呢 ? 下 面 为 大 家 介绍 4 种 方法 。 调 试 代码 时 ，main() 
函数 并 不 直接 位 于 可 执行 文件 的 EP 位 置 上 ， 出 现在 此 的 是 开发 工具 (Visual C++ ) 生成 的 启动 函 
数 。 我 们 需要 查看 的 main0) 函 数 距离 EP 代 码 很 远 , 如 果 有 一 种 方法 可 以 帮助 我 们 快速 查找 到 main() 
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函数 ， 那 么 必定 会 为 调试 带 来 极 大 帮助 。 
每 个 人 在 调试 中 快速 查找 所 需 代码 时 都 有 不 同方 法 ,但 是 归结 起 来 ,最 基本 、 最 常用 的 方法 
只 有 4 种 。 
提示 
学 习 这 4 种 方法 之 前 先 思考 一 下 。 我 们 已 经 知道 , 运行 HelloWorld.exe 程序 会 弹出 
一 个 消息 框 ， 显 示 “Hello World!” 人 信息。 固然 是 因为 我 们 编写 了 代码 ， 可 在 这 种 情形 
下 ， 只 要 运行 一 下 程序 ， 不 论 是 谁 都 能 轻松 意识 到 这 一 点 。 
如 果 你 是 Win32 API FRA Ñ , 看 到 弹出 的 消息 框 就 会 想到 , 这 是 调用 MessageBox() 
API 的 结果 。 应 用 程序 的 功能 非常 明确 时 ， 只 要 运行 一 下 程序 ， 就 能 大 致 推测 出 其 内 
部 结构 ( 当然 这 需要 具备 开发 与 分 析 代 码 的 经 验 )。 


2.4.1 代码 执行 法 

我 们 需要 查找 的 是 main0 PR LZ P 38 Fl MessageBox( 函数 的 代码 。 在 调试 器 中 调试 
HelloWorld.exe ( Step Over(F8) ) 时 ，main0 函 数 的 MessageBox() 函 数 在 某 个 时 刻 就 会 被 调用 执行 ， 
弹出 消息 对 话 框 ， 显 示 “Hello World!” 这 条 信息 。 

以 上 就 是 代码 执行 法 的 基本 原理 , 程序 功能 非常 明确 时 , 逐条 执行 指令 来 查找 需要 查找 的 位 
置 。 代 码 执行 法 仅 适 用 于 被 调试 的 代码 量 不 大 、 且 程序 功能 明确 的 情况 。 倘 若 被 调试 的 代码 量 很 
大 且 比 较 复 杂 时 ， 此 种 方法 就 不 再 适用 了 。 

下 面 使 用 代码 执行 法 来 查找 代码 中 的 main0 函 数 。 从 “大 本 车 ”( 40104F ) 开始 ， 按 F8 键 逐 
行 执行 命令 ， 在 某 个 时 刻 弹出 消息 对 话 框 ， 显 示 “Hello World!” 信 息 。 按 Ctrl+F2 键 再 次 载 入 待 
调试 的 可 执行 文件 并 重新 调试 ,不 断 按 F8 键 ， 某 个 时 刻 一 定 会 弹出 消息 对 话 框 。 弹 出 消息 对 话 框 
时 调用 的 函数 即 为 main0 函 数 。 

如 图 2-20 所 示 ,， 地 址 401144 处 有 一 条 函数 调用 指令 “CALL 00401000" , 被 调用 的 函数 地 址 为 
401000， 按 F7 键 ( Step Into ) 进入 被 调用 的 函数 ， 可 以 发 现 该 函数 就 是 我 们 要 查找 的 main() 函 数 。 


HOU ERX,DWORD PTR DS:[hGAF8C] 







0050112D | > A1 8CAF4000 
60501132 A3 980F^0068 MOU DWORD PTR DS:[^400F98],ERX 
88481137 . 58 PUSH ERX 






PUSH DWORD PTR DS:[46AF88] 
PUSH DWORD PTR DS:[48AF78] 
ALLT 005018890. 本 

ADD ESP ,BC 


图 2-20 main) ŽEP 


. FF35 80ñF5000 
. FF35 78AF4000 





00501138 
8058113E 












80501159 


地 址 40100E 处 有 一 条 调用 MessageBoxW() API 的 语句 ， 如 图 2-21 所 示 。 地 址 401002 与 401007 
处 分 别 有 一 条 PUSH 语句 , 它们 把 消息 对 话 框 的 标题 与 显示 字符 串 ( Title= “http:/Ayww.reversecore.com”, 
Text- "Hello World!" ) 保存 到 栈 (Stack) 中 ， 并 作为 参数 传递 给 i NA 






[TTTXETT) Š BESTEN 
6054018082 - 68 7892540808 PUSH 80589278 





Title = "uww.reversecore.com" 
ë 






















80481007 || . 68 n60925000 PUSH 80409208 Text = "Hello World? 
80481068C || . óA 00 PUSH 0 hüwner = NULL 
00491988E || . FF15 EH808008 |CALL DWORD PTR DS:[X&USER32.HessageBoxW»] |LHessageBoxV 
88501015 || . 33C9 XOR ERX,EARX 

00561016 |L. C3 RETN 


图 2-21 ”main() 函 数 
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这 样 就 准确 查找 到 了 main0 〇 函数 。 
Win32 应 用 程序 中 ，API 函数 的 参数 是 通过 栈 传递 的 。VC++ 中 默认 字符 串 是 使 用 
Unicode 码 表 示 的 ， 并 且 ， 处 理 字 符 串 的 API 函数 也 全 部 变更 为 Unicode 系列 函数 。 


24.2 ”字符 串 检索 法 


和 鼠标 右键 菜单 — Search for — All referenced text strings 

在 程序 中 查找 指定 字符 串 的 方法 很 多 ， 这 里 向 大 家 介绍 OllyDbg 中 提供 的 字符 串 检索 法 。 

OllyDbg 初 次 载 入 待 调试 的 程序 时 ,都 会 先 经 历 一 个 预 分 析 过 程 。 此 过 程 中 会 查看 进程 内 存 ， 
程序 中 引用 的 字符 串 和 调用 的 API 都 会 被 摘录 出 来 ， 整 理 到 另外 一 个 列表 中 ， 这 样 的 列表 对 调试 
是 相当 有 用 的 。 使 用 All referenced text strings 命 令 会 弹出 一 个 窗口 ， 其 中 列 出 了 程序 代码 引用 的 
字符 串 ， 如 图 2-22 所 示 。 


PU 


MOU DWORD PTR DS:[|RSCII "I=h#D'' 

PUSH 00408154 UNICODE “mscoree -dl11” 
8640136D | PUSH 00408144 ASCII "CorExitProcess'' 
| 8040169D | PUSH 80508718 ASCII "Runtime ErrorfWntünProgram: " 
I PUSH 8854886F8 ASCII "program name unknown>" 

PIISH. RRhORAFA ASPTE s _ 68 





图 2-22 All referenced text strings 


地 址 401007 处 有 一 条 PUSH 004092A0 命 令 ， 该 命令 中 引用 的 004092A0 处 即 是 字符 串 “Hello 
World!" ,XXGE FIFE ,光标 定位 到 main0) 函 数 中 调用 MessageBoxW0O 函 数 的 代码 处 ,请 参照 图 2-21。 
在 OllyDbg 的 Dump 窗 口中 使 用 Go to (Ctrl+G) 命 令 ， 可 以 进一步 查看 位 于 内 存 4092A0 地 址 处 
的 字符 串 。 首 先 使 用 鼠标 单 击 Dump 窗 口 ， 然 后 按 Ctrl+G 快 捷 键 ， 打 开 Enter expression to follow in 
Dump 窗 口 ， 如 图 2-23 所 示 。 


9865092D8| 88 | 
605092E8| 08 "WI OO| ................ 
895892F 0| 88 
88509380| B8 
88589318, 3D 
8880932080 44 | 76| D:WLSWWWWRCEWReu 
005093390, 65 à . d 9B | erseCoretibookW? 

0060409340/9060 EA B3 ñ0 5C 34 5F EB B3 B8 EB ñC B8 5C 42 30 ae PE YBO 

















图 2-23 “Hello World!” 字 符 串 


灰色 部 分 即 是 “Hello World!” 字 符 串 ， 它 是 以 Unicode 码 形式 表示 的 ， 并 且 字 符 串 的 后 面 被 
填充 上 了 NULL 值 (后 面 将 讲解 如 何 把 “Hello World!” 字 符 串 更 改 为 其 他 字符 串 ， 届 时 会 再 次 涉 
及 这 块 地 址 空间 )。 
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二 
VCH}, static 字符 串 会 被 默认 保存 为 Unicode 码 形 式 ，static 字符 串 是 指 在 程序 
内 部 被 硬 编码 ( Hard Coding ) 的 字符 串 。 


图 2-23 中 还 需要 注意 的 是 4092A0 这 个 地 址 ， 它 与 我 们 之 前 看 到 的 代码 区 域 地 址 (401XXX ) 


不 同 。HelloWorld.exe 进 程 中 ，409XXX 地 址 空间 被 用 来 保存 程序 使 用 的 数据 。 大 家 要 明白 一 点 ， 
代码 与 数据 所 在 的 区 域 是 彼此 分 开 的 。 
提示 


若 想 了 解 代码 与 数据 在 文件 中 是 如 何 保 存 的 ， 以 及 如 何 加 载 到 内 存 的 ， 就 需要 学 
习 Windows PE 文件 格式 的 相关 内 容 (请 参考 第 13 章 )。 


2.4.3 ”API 检索 法 (C10: 在 调用 代码 中 设置 断 点 


筷 标 右键 菜单 — Search for — All intermodular calls 

Windows 编 程 中 ， 若 想 向 显示 器 显示 内 容 ， 则 需要 使 用 Win 32 API 向 OS 请 求 显 示 输 出 。 换 言 
之 ， 应 用 程序 向 显示 器 画面 输出 内 容 时 ， 需 要 在 程序 内 部 调用 Win32 API。 认 真 观察 一 个 程序 的 
功能 后 ,我们 能 够 大 致 推测 出 它 在 运行 时 调用 的 Win32 API, 若 能 进一步 查找 到 调用 的 Win32 API, 
则 会 为 程序 调试 带 来 极 大 便利 。 以 HelloWorld.exe 为 例 ， 它 在 运行 时 会 弹出 一 个 消息 窗口 ， 由 此 
我 们 可 以 推断 出 该 程序 调用 了 user32.MessageBoxW( API; 

在 OllyDbg 的 预 分 析 中 ， 不 仅 可 以 分 析出 程序 中 使 用 的 字符 串 ， 还 可 以 摘录 出 程序 运行 时 调 
用 的 API 函 数列 表 。 若 只 想 查 看 程序 代码 中 调用 了 哪些 API 函 数 ， 可 以 直接 使 用 All intermodular 
calls 命 令 。 如 图 2-24 所 示 ， 窗 口中 列 出 了 程序 中 调用 的 所 有 API ( 根据 OllyDbg 选 项 设置 的 不 同 ， 
显示 形式 会 略微 不 同 )。 









Jur n 00351255 D setection) 

985 CALL <JMP .&KERNEL3 kerne132.GetCommandLineu 

608481265 |CALL DWORD PTR DSzkernel32.IsDebuggerPresent 

88481278 CALL DWORD PTR DS: kerne132.SetUnhandledExceptionFilter 

06401285 CALL DWORD PTR DSzkernel32.UnhandledExceptionFilter 
80401261 |CALL DWORD PTR DSzkernel32.GetCurrentProcess 

. 98481288 |CALL DWORD PTR DS. kerne132_TerminateProcess 

| 084812F7 |CALL DWORD PTR DS: kernel32.SetUnhandledExceptionFilter 

í 0130C |CALL DWORD PTR DSzkernel32.Sleep 


图 2-24 Intermodular calls 

可 以 看 到 调用 MessageBoxW0 的 代码 ,该 函数 位 于 40100E 地 址 处 , 它 是 user32.MessageBoxW0 
API。 双 击 它 ， 光 标 即 定位 到 调用 它 的 地 址 处 (40100E )。 观 察 一 个 程序 的 行为 特征 ， 若 能 事先 
推测 出 代码 中 使 用 的 API， 则 使 用 上 述 方法 能 够 帮助 我 们 快速 查找 到 需要 的 部 分 。 


提示 





















E A AR S D M LIUM QM CMT UM d EMI MIC ELI 


对 于 程序 中 调用 的 API, OllyDbg 如 何 准 确 摘录 出 它们 的 名 称 呢 ? 首先 ， 它 不 是 通 
过 查看 源 代 码 来 摘 取 的 ， 若 要 了 解 其 中 的 原理 ， 需 要 理解 PE 文件 格式 的 IAT (Import 
Address Table， 导 入 地 址 表 ) 结构 (请 参考 第 13 章 )。 
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2.4.4 API 检索 法 (20: 在 API 代 码 中 设置 断 点 


IU ai X X — Search for — Name in all calls 
OllyDbsg 并 不 能 为 所 有 可 执行 文件 都 列 出 API 函 数 调 用 列表 。 使 用 压缩 器 /保护 器 工具 对 可 执 
行文 件 进行 压缩 或 保护 之 后 , 文件 结构 就 会 改变 , 此 时 OllyDbg 就 无 法 列 出 API 调 用 列表 了 ( 甚至 
连 调试 都 会 变 得 十 分 困难 )。 
提示 
@ 压缩 器 (Run time Packer， 运 行 时 压缩 器 ) 
压缩 器 是 一 个 实用 压缩 工具 ， 能 够 压缩 可 执行 文件 的 代码 、 数 据 、 资 源 等 ， 与 
普通 压缩 不 同 ， 它 压缩 后 的 文件 本 身 就 是 一 个 可 执行 文件 。 
@ 保护 器 
保护 器 不 仅 具 有 压缩 功能 ， 还 添加 了 反 调 试 、 反 模拟 、 反 转 储 等 功能 ， 能 够 有 
效 保护 进程 。 若 想 仔细 分 析 保 护 器 ， 分 析 者 需要 具有 高 级 逆向 知识 。 


这 种 情况 下 ，DLL 代 码 库 被 加 载 到 进程 内 存 后 ， 我 们 可 以 直接 向 DLL 代码 库 添 加 断 点 。API 
是 操作 系统 对 用 户 应 用 程序 提供 的 一 系列 函数 ， 它 们 实现 于 C:VWindows\systems32 文 件 夹 中 的 
*.dll 文 件 ( 如 kernel32.dll、user32.dl1、gdi32.dl1、advapi32.dl1、ws2_32.dl! 等 ) 内 部 。 简 言 之 ,我 
们 编写 的 应 用 程序 执行 某 种 操作 时 (如 各 种 IO 操作 ), 必须 使 用 OS 提供 的 API 向 OS 提出 请 求 ， 然 
后 与 被 调用 API 对 应 的 系统 DLL 文件 就 会 被 加 载 到 应 用 程序 的 进程 内 存 。 

在 OllyDbsg 荣 单 栏 中 依次 选择 View-Memory 菜 单 〈 快捷 键 AlttM )， 打 开 内 存 映射 窗口 。 

如 图 2-25 所 示 , 内 存 映 射 窗口 中 显示 了 一 部 分 HelloWorld.exe 进 程 内 存 。 在 图 底部 的 方 框 中 可 
以 看 到 ，USER32 库 被 加 载 到 了 内 存 。 










code 
imports 






88002888 HelloWor | .data data 
88861888. 











HelloWor|. resources P 
ni UU TT i ———— "Map | 
_ 00580898 60803800! Priu | 
| 005C8889| 8905C 888. Hap R 3! 
. 01208880| 88003880 Priv|RW | RV | 
|| 75528808) 000010908! KERNELBA PE header Inag | 
| 75521008 0800053000 KERNELBA | .text code,imports,exports |Imag | 
|| 75565000| 80002000 KERNELBA | .data data Inag 
|. 75566888 8000100808 KERNELBA .rsrc resources Imag 
. 75567608| 8080803880 KERNELBA| .reloc  |relocations Inag 
| 75688888 8808810008 GDI32 PE header Inag 
| 75681008 88048888| GDI32 .text code,imports,exports | Imag 
|. 756E9000 0080002000 GDI32 .data data Imag 
| T56EB006 8080018080 GDI32 .rsrc resources Imag 
| 7T56EC888| 0800280800 GDI32 -reloc relocations Inag 
| 756F 8088 0098018008 USP18 PE header Inag 
| 756F1088 68850888, USP18 .text code,inports,exports | Imag 
Roe 8908002000 USP10 .data data Imag 


| 757508900| 0002B000 USP10 Shared Imag 
! resources 
elocation 





| code ,imports,exports | 
0| 088801888 s data 

0| 8005B808 . resources 

8900849060 - relocations 








22 22 22 22 2 ZO 22 22 22 72 22 Z 22 Z Z Z 22 Z 22 Z Z 22 72 Z Z Z 2 2 x 2 > 
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使 用 OllyDbg 中 的 Name in all modules 命 令 可 以 列 出 被 加 载 的 DLL 文件 中 提供 的 所 有 API。 使 
用 Name in all modules 命 令 打 开 All names 窗 口 ， 单 击 Name 栏 目 按 名称 排 序 ， 通 过 键盘 敲 出 
MessageBoxW 后 ， 光 标 会 自动 定位 到 MessageBoxW 上， 如 图 2-26 所 示 。 








i$ à 

| 759DE9C3 USER32 HessageBoxIndirectU 

| 759DE7F5 USER32 MessageBoxTimeouth 

| 759DE76D USER32 HessageBoxTimeoutW 
805888E^ HelloWor 
























WEN s MAC PCS > 1 E 

| 756D6EC9 GDI32 MirrorRgn 

| 759812RC USER32 6D132.MirrorRgn 
| 76E63ED2 nsucrt mkdir 
| 76E31BBD msucrt nkgntine 















图 2-26 All names 窗 口 


USER32 模 块 中 有 一 个 Export 类 型 的 MessageBoxW 函 数 (不 同系 统 环境 下 函数 地 址 不 同 )。 
双击 MessageBoxW 函 数 后 就 会 显示 其 代码 ， 它 实现 于 USER32.dll 库 中 ， 如 图 2-27 所 示 。 






759DERC1 55 PUSH EBP ` 





759DERC2 8BEC MOU EBP ,ESP 

759DERCh 833D 749A9E75 00|CHP DWORD PTR DS:[759E9875],0 
759DERCB s 7h 25 JE SHORT 759DERF1 

759DERCD 65:01 18880808 MOU ERX,DUORD PTR FS:[18] 
759DERD3 68 08 PUSH 0 

?759DEADS FF78 24 PUSH DWORD PTR DS:[EAX+24] 
759DEADS 68 A49E9E75 PUSH 759E9ER^ 

759DERDD FF15 34149875 |CALE DWORD PTR DS:[X&KERNEL32.Inter- 
759DERE3 85C8 TEST ERX ,ERX 

759DERES . 75 88 JNZ SHORT 759DERF1 

759DERE7 C785 R89E9E75 B1(MOU DWORD PTR DS:[759E9ERB], 1 
759DERF1 6A 08 PUSH 8 ' 
759DERF3 FF75 14 PUSH DWORD 

759DERF6 FF75 18 PUSH DWORD 

759DERF9 FF75 8C PUSH DWORD 

759DEAFC FF75 08 PUSH DWOR| 

759DEAFF E8 49FFFFFF CALL Messag 

759DEB 04 5D POP EBP 

759DEB 05 c2 1808 RETN 18 








图 2-27 USER32.MessageBoxW/ Ai 


观察 MessageBoxW 函 数 的 地 址 空间 可 以 发 现 , 它 与 HelloWorld.exe 使 用 的 地 址 空间 完全 不 同 。 
在 函数 起 始 地 址 上 按 F2 键 ， 设置 好 断 点 后 按 F9 继 续 执行 ， 如 图 2-28 所 示 。 

















: w12018n9 
[oen s i i : 5060000081 |] 

55 t 772864F4 ntdil.KiFastSyste 

8BEC TFFDDODO 

833D 74989E75 08|CHP DWORD PTR DS:[759E9R75],8 0012rFF30 

74 24 JE SHORT 759DEAF1 F 0012FF98 

68:61 18080008  |MOU EAX,DWORD PTR FS:[18] 00000000 

6n 90 PUSH 6 n 0U0G0OGO 

FF70 24 PUSH DWORD PTR DS:[EAX*24] 3 

68 RA9E9E7S PUSH 759E9ERÀ 7T59DERBF USER32.MessageBoxW 

FF15 354149875 C 8 ES U023 32bit GéKFFFFFFFF) 
CS 0018 32bit OFFFFFFFF) 
SS 0023 32bít G(FFFFFFFF) || 


E -| 12FF30 


0012FF38 
B012FF38 
8012FF3F 


Soapaoel LSstyle = Mg OK|M& APPLHODAL 

Li 149| RETURN to HelloWor.ü801159 From HelloWor.(0. 
s80080001 

PAORA 
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gS. 三 一 一 一 一 一 二 -二 = RR RR ——— E — 
Æ HelloWorld.exe 应 用 程序 中 调用 了 MessageBoxW0 API, 则 调试 时 程序 运行 到 该 
处 就 会 暂停 。 





与 预测 的 一 样 ,程序 执行 到 MessageBoxW 代 码 的 断 点 处 就 停 了 下 来 ， 此 时 寄存 器 窗口 中 ESP 
的 值 为 12FF30， 它 是 进程 栈 的 地 址 。 在 右 下 角 的 栈 窗口 中 能 够 看 到 更 详细 的 信息 ， 如 下 列 代码 
所 示 。 


Stack 
address Value Comment 


0012FF30 00401014 CALL to MessageBoxW from HelloWor.0040100E 
= MessageBoxW 在 40100E 地 址 处 被 调用 ， 

且 执 行 完 毕 后 返回 到 401014 地 址 处 。 

0012FF34 00000000 hOwner = NULL 

0012FF38 004092A4 Text = "Hello World!" 

0012FF3C 0040927C Title = "www.reversecore.com" 

0012FF40 00000000 Style = MB OK|MB APPLMODAL 

提示 
第 5 章 和 第 7 章 中 将 详细 讲解 函数 调用 及 栈 动作 原理 。 


ESP 值 的 12FF30 处 对 应 一 个 返回 地 址 401014 ，HelloWorld.exe 的 main() 函数 调用 完 
MessageBoxW 函数 后 ， 程 序 执行 流 将 返回 到 该 地 址 处 。 按 Ctrli+F9 快 捷 键 使 程序 运行 到 
MessageBoxW 函 数 的 RETN 命 令 处 ， 然 后 按 F7 键 也 可 以 返回 到 401014 地 址 处 。 地 址 401014 的 上 方 
就 是 地 址 40100E， 它 正 是 调用 MessageBoxW 函 数 的 地 方 ， 如 图 2-21 所 示 。 

上 面 就 是 快速 查找 代码 的 4 种 方法 ， 接 下 来 ， 我 们 将 学 习 使 用 调试 器 更 改 “Hello World!” 字 
fI. 


2.5 使用“ 打 补 丁 ” 方 式 修改 “Hello World!" FHE 
下 面 我 们 将 学 习 如 何 通 过 调试 器 简单 修改 程序 内 容 。 


2.5.4 “ 打 补 丁 ” 


代码 逆向 分 析 中 ,“ 打 补丁 ”操作 是 不 可 或 缺 的 重要 主题 。 利 用 “ 打 补 本 ”技术 不 仅 可 以 修 
复 已 有 程序 中 的 Bug, 还 可 以 向 程序 中 添加 新 功能 。“ 打 补丁 ”的 对 象 可 以 是 文件 、 内 存 , 还 可 以 
是 程序 的 代码 、 数 据 等 。 本 示例 中 ,我们 将 使 用 “ 打 补 丁 ” 技 术 把 HelloWorld.exe 程 序 消息 窗口 
显示 的 “Hello World!” 字 符 串 更 改 为 其 他 字符 串 。 

提示 

其 他 章节 中 有 更 多 “ 打 补 本 ”技术 使 用 示例 。 


请 记 住 ， 我 们 的 目标 是 把 消息 对 话 框 中 显示 的 “Hello World!” 字 符 串 更 改 为 其 他 字符 串 。 
前 面 我 们 已 经 查找 到 了 调用 MessageBoxW 的 部 分 和 “Hello World!” 字 符 串 的 地 址 ， 这 已 经 算 成 
功 了 一 半 。 

按 Ctrl+F2 快 捷 键 重新 调试 ， 并 使 调试 流 运行 到 main 函 数 的 起 始 地 址 处 (401000 )。 在 401000 
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地 址 处 按 F2 键 设置 断 点 ， 再 按 F9 执 行程 序 。main0 函 数 的 地 址 401000 被 用 作 “ 大 本 车 ”( 40104F ) 
后 第 一 个 “前 进 营 "， 如 图 2-29 所 示 。 


SUE 









868501882 
804010807 













68 A0924000 | PUSH 88589288 Text = "Hello World?!" 








0940180C || . ón 00 PUSH 8 hDuner = NULL 
8858180E || . FF15 EL804080 CALL DWORD PTR DS:[X&USER32.MessageBoxW»] |LHessageBoxW 
80501015 || . 33CG |XUR ERX,ERX 

80501016 |L. c3 | RETN 





[2-29 main) PR 


2.5.8 ”修改 字符 串 的 两 种 方法 


下 面 介绍 2 种 简单 的 修改 字符 串 的 方法 。 

D 直接 修改 字符 串 缓冲 区 (buffer )。 

© 在 其 他 内 存 区 域 生 成 新 字符 串 并 传递 给 消息 函数 。 

以 上 2 种 方法 各 有 优 缺 点 ， 下 面 分 别 了 解 一 下 。 

1. 直接 修改 字符 串 缓冲 区 

MessageBoxW 函 数 的 字符 串 参数 “Hello World!” 保 存在 地 址 4092A0 处 的 一 段 缓冲 区 中 ， 只 
要 修改 这 段 内 容 ， 就 可 以 修改 MessageBoxW 函 数 显示 出 的 字符 串 。 在 Dump 窗 口中 按 Ctrl+G 快 捷 
键 执行 Go to 命令 ， 在 弹出 窗口 中 输入 4092A0 进 入 字符 串 缓 冲 区 。 然 后 使 用 鼠标 选中 4092A0 地 址 
处 的 字符 串 ， 按 Ctrl+E 快 捷 键 打开 编辑 窗口 ， 如 图 2-30 所 示 。 





805892B8 
001092C80 
88589208 
8046892E8 







T a?. 


























B84092F 8 i 

80489308| ASCI R e l lo. Wor. las |jc| £ig. ...RSDSN'? 
88509310 jo|-'.gHi??2 £.. 
88489328|| UNICODE [Hello World? ||6 D:WLSWWWWIRCEWReu 
rtis HEX*00 [48 99 65 BO 6C OU 6C 80 GF 88 20 90 pron ue 
e0x29356| s? 98 6F 08 72 08 6C 88 64 BA 21 BA 2 mE ing) He. 






8904689368 llo World? - ?? 








e o s Com cc 





88589378 | 2982) jga 
60489388|| [^ Keep size | 88? srciie110u 
8848939 8| orldtReleasetHel| 
80589388| |1oUorld.pdb..... l 


图 2-30 "Hello World!” FFR 


从 图 2-30 可 以 看 出 ，Unicode 形 式 的 “Hello World!” 字 符 串 占据 的 区 域 为 4092A0~4092B0 
( Unicode 编 码 中 用 2 个 字 节 表示 1 个 字 罗 马 母 )。 用 新 字符 串 覆 写 该 区 域 。 

注意 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
若 新 字符 串 长 度 大 于 原 有 字符 串 ， 执 行 覆 盖 操 作 时 可 能 损坏 字符 串 后 面 的 数据 ， 
所 以 一 定 要 小 心 。 特 别 是 字符 串 后 面 有 非常 重要 的 数据 时 ， 翟 盖 操作 导致 数据 损坏 就 
会 引发 程序 内 存 引用 错误 。 





在 弹出 的 编辑 窗口 UNICODE 文 本 框 中 输入 “Hello Reversing” 字 符 串 ， 如 图 2-31 所 示 。 
请 注意 , Unicode 字 符 串 必须 以 NULL 结 束 , 它 占据 2 个 字 节 (添加 NULL 时 不 能 直接 在 UNICODE 
文本 框 中 进行 ， 而 要 在 HEX 项 目 中 添加 )。 


2.5 使 用 “ 打 补 本 ”方式 修改 “Hello World" F4 # 25 









SCII 





H.e.1.1.o. 





.BR.e.w.e.rm.s.i.n.g... ss 


08589388:| UNICODE [Hello Reversing. i e mim. ...Rspsm'? 
99489318} =° 08??2 £.. 

09489328} É: l6 D :WLSWWATRCEWReu 
00489338) 52 UM 9B 7 8 B| ersetCorewWbookW? 
56489348) jo usw PEC!||wBO 
5/2 IES A (ing) He 
98489368 llo World! - ?? 
00489378] B| 25 泥 ?? 齐 

00s89388_ " z z 型 源 ?srcWHelloWy 


图 2-31 更改 字符 串 为 “Hello Reversing” 


80569358; 








ri RE noa 
更 改 后 的 字符 串 “Hello Reversing” 的 长 度 要 比 原 字符 串 “Hello World!" $ K— 
些 。 原 字符 串 后 一 般 会 存在 某 些 有 意义 的 数据 ， 使 用 更 长 的 字符 串 履 盖 原 字符 串 时 ， 
数据 可 能 会 遭 到 损坏 ， 这 是 十 分 危险 的 。 本 示例 中 之 所 以 采用 更 长 的 字符 串 履 盖 仅 仅 
是 为 了 更 好 地 向 大 家 演示 ， 实 际 操作 中 不 建议 这 样 做 。 


再 返回 main0 函 数 中 ， 如 图 2-32 所 示 。( 还 记得 第 一 个 “前 进 营 ” 吧 ? ) 






Style = MB_OK|MB_APPLMODAL 


88581082 | s 68 Title = “www.reuersecore.com" 







8058188C 

80401 60E 
80481014 ||. 
60481816 |L. 





h0uner = NULL 
HessageBoxW 


图 2-32 ”main0 函 数 中 被 修改 的 字符 串 


虽然 指令 保持 不 变 ， 但 原 字 符 串 已 经 被 新 字符 串 取 代 ,， 用 作 MessageBoxW0 函 数 的 参数 ， 并 
且 参 数 的 地 址 仍 为 4092A0， 只 是 该 地 址 空间 中 的 内 容 ( 字符 串 ) 发 生 了 改变 。 按 F9 键 运行 程序 
后 ,将 弹出 图 2-33 所 示 的 消息 窗口 ， 可 以 看 到 显示 出 的 新 字符 串 。 





图 2-33 ”显示 新 字符 串 


以 上 就 是 直接 更 改 字符 串 缓冲 区 来 修改 的 方法 。 这 种 方法 的 优点 是 使 用 起 来 十 分 简单 , 但 缺 
点 是 它 对 新 字符 串 的 长 度 有 限制 ， 新 字符 串 的 长 度 不 应 比 原 字 符 串 长 。 

提示 一 
可 执行 文件 保存 字符 串 时 一 般 会 给 字符 串 多 留 出 一 些 空间 ， 图 2-30 中 的 
HelloWorld.exe 程序 就 是 如 此 。 所 以 ， 如 果 你 的 运气 足够 好 ,使 用 更 长 的 字符 串 履 盖 原 
字符 串 时 ， 即 使 原 字 符 串 后 面 的 部 分 空间 被 侵占 ， 程 序 仍然 能 正常 运行 。 但 是 我 们 不 
建议 大 家 这 样 做 ， 随 着 这 些 不 安定 因素 逐渐 增多 ， 整 个 系统 的 稳定 性 最 终 会 遭 到 破坏 。 
请 记 住 ， 我 们 是 解决 问题 的 人 ， 而 不 是 制造 麻烦 的 。 
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e 保存 更 改 到 可 执行 文件 


上 面 的 调试 中 , 我 们 通过 修改 字符 串 缓冲 区 更 改 了 程序 显示 的 消息 内 容 , 但 是 这 种 更 改 只 是 
暂时 的 ,终止 调试 ( 即 HelloWolrd.exe 进 程 结束 ) 后 ,程序 中 的 原 字 符 串 仍然 没有 改变 。 如 果 想 
把 这 种 更 改 永 久保 存 下 来 ， 就 要 把 更 改 后 的 程序 另 保存 为 一 个 可 执行 文件 。 


图 2-31 的 Pump 窗口 中 ， 选 中 更 改 后 的 “Hello Reversing” 字 符 串 ， 单 击 鼠 标 右键 ， 在 弹出 的 
chien d to executable file 菜 单 ， 打 开 图 2-34 所 示 的 Hex 窗 口 。 








图 2-34 Copy to executable file 


在 弹出 的 Hex 窗 口中 单 击 鼠标 右键 ， 选 择 Save file 菜 单 ， 在 Save file as 对 话 框 中 输入 文件 名 


中 
“Hello Reversing.exe” 后 保存 为 .exe 可 执行 文件 。 然 后 运行 该 文件 ， 弹 出 图 2-33 所 示 的 消息 窗口 ， 
显示 的 字符 串 已 经 变 为 “Hello Reversing”。 


2. 在 其 他 内 存 区 域 新 建 字符 串 并 传递 给 消息 函数 
如 果 要 用 “Hello Reversing World!!!” 蔡 换 原 字符 串 “Hello World!"”， 上 述 方法 就 不 适用 了 。 
此 时 我 们 可 以 换 一 种 方法 。 


按 Ctrl+F2 快 捷 键 重启 调试 ， 再 按 F9 运 行 ， 由 于 之 前 在 main0 函 数 的 起 始 地 址 处 (401000 ) iZ 
置 了 断 点 ， 所 以 调试 流 自动 转 到 main(0) 函 数 处 。 再 看 一 下 main(0 函 数 ， 如 图 2-35 所 示 。 


0805010082 



















- 68 78925008 PUSH 88509278 











Title = "www.reuersecore.con'" 
68501887 || . 68 089258008 PUSH 805092800 Text = "Hello World!” 
88580188C || . óA 88 PUSH 8 hüuner = NULL 
8858188E || . FF15 E4864888 |CALL DWORD PTR DS:[X&USERS32.HessageBoxW»] |LHessageBoxU 
885018015 || . 33C8 XOR ERX,ERX 


68481616 


. £3 RETH 


图 2-35 main) PŽ 


401007 地 址 处 有 一 条 PUSH 004092A0 命 令 
参数 形式 传递 给 MessageBoxW0 函 数 。 


向 MessageBoxW0 函 数 传 递 字符 串 参 数 时 ， 传 递 的 是 字符 串 所 在 区 域 的 首 地 址 。 如 果 改 变 了 
字符 串 地 址 ， 消 息 框 就 会 显示 变更 后 的 字符 串 。 在 内 存 的 某 个 区 域 新 建 一 个 长 字符 串 ,， 并 把 新 字 
符 串 的 首 地 址 传递 给 MessageBoxW0 函 数 ， 可 以 认为 传递 的 是 完全 不 同 的 字符 串 地 址 。 

提示 

上 面 的 想法 相当 不 错 , 但 还 要 考虑 另 一 个 问题 :“ 应 该 在 内 存 的 哪 块 区 域 创建 新 字 

符 串 呢 ? ”要 想 解 开 答 案 ， 需 要 掌握 PE 文件 格式 与 虚拟 地 址 ( Virtual Address ) 结构 

的 相关 知识 ， 后 面 章节 中 会 详细 讲解 。 此 处 任 选 一 块 区 域 即 可 。 


， 它 把 4092A0 地 址 处 的 “Hello World!” 字 符 串 以 


我 们 在 方法 中 修改 的 字符 串 地 址 为 4092A0, 下面 再 用 Dump 窗 口 查看 该 部 分 ( 参见 图 2-30 )。 
向 下 拖 动 滑动 条 ， 相 应 内 存 区 域 由 NULL 填 充 ( NULL padding) 结束 ， 如 图 2-36 所 示 。 


2.5 使 用 “ 打 补 本 ”方式 修改 “Hello World!” F4 # 
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80489F60 
88589F7B 
86589F88 
BO469F98 
00509Fñn0 
B0309FBD 
88409FCG 
B8589FDB 
B88589FEB 
865 89FF B| 


88 
88 
B8 
89 
88 
88 
88 
B8 
B8 
98 





这 就 是 程序 中 未 使 用 
提示 


应 用 程序 被 加 载 到 内 存 时 有 一 个 最 小 的 内 存 分 配 大 小 ， 





88 80 88 
80 88 80 NƏ 88 88 GG 0G 
88 80 88 80 00 88 08 OB 
08 80 08 HG HG 88 OO 68 
08 00 08 88 00 88 O0 OD 
80 00 00 00 08 08 08 00 
00 00 00 08 00 AO GA NA 
08 88 00 O8 00 OB OO OG 
88 88 88 88 80 HG 00 88 OB HA 
08 88 80 00 80 88 00 80 08 8G 
08 88 88 08 08 GA 00 88 HG 08 





60 08 
88 08 
88 88 
88 08 
66 08 
80 08 
88 88 


88 
88 
88 
98 
80 
68 
68 


90 
08 88 88 
68 88 
88 88 
80 08 
60 068 
80 068 
88 08 
88 08 068 
88 08 08 
88 68 08 


88 
880 
80 
68 
68 
80 
80 
88 
88 





图 2-36 ”内 存 中 的 NULL 填 充 区 域 


的 NULL 填 充 区 域 。 


一 般 为 1000。 即 使 程序 运 


行 时 只 占用 100 内 存 ， 它 被 加 载 到 内 存 时 仍然 会 分 到 1000 左右 的 内 存 ， 这 些 内 存 一 部 
分 被 程序 占用 ， 其 余部 分 为 空余 区 域 ， 全 部 被 填充 为 NULL; 


最 好 将 此 处 用 作 字 符 串 缓冲 区 并 传递 给 MessageBoxW 函 数 , 用 快捷 键 CtrlIHE 向 结尾 部 分 适当 
位 置 (409F50 ) 写 入 新 字符 串 (“Hello Reversing World!!!" ) 即 可 ， 如 图 2-37 所 示 。 






868509FRB 
B8hB9FBO 
88509FC8 
884ü9FDB 
B8489FEB 
B8409FF 0 


804509F98|| 





[^ Keep size 





[82-37 "Hello Reversing World!!!" 





字符 串 


仅 进行 上 述 操作 无 法 更 改 消息 框 中 的 字符 串 。 既 然 已 经 新 建 了 缓冲 区 ， 接 下 来 就 应 该 把 
新 的 缓冲 区 地 址 ( 409F50 ) 作为 参数 传递 给 MessageBoxW() 函 数 。 为 此 ， 我 们 需要 在 代码 窗 
口中 使 用 汇编 命令 修改 代码 。 如 图 2-38 所 示 ， 将 光标 置 于 地 址 401007 处 ， 按 空格 键 打开 


Assemble 窗 口 。 


$ 





6ñ 88 
68 78924088 





88581602 








90501800 |. ón 80 






8056188E - FF15 En805800 
90501815 

9805018016 |L. C3 

886501017 3B6D 85604008 
B040101D | ., 75 02 
80481861F | . F3: 

884818280 | . C3 


World!!!” 的 首 地 址 。 





PUSH § 
PUSH 80589278 ` 








RETN 










Style = MB OK|MB RPPLMODAL 
[Title = "www. .reversecore.con" 






hOwner = NULL 
HessageBoxWV 


Superfluous prefix 





图 2-38 "Hello Reversing World!!!" “FEB Hik: 
在 打开 的 Assemble 窗 口中 输入 "PUSH 409F50" 154 , 地 址 409F50 为 新 字符 串 “Hello Reversing 
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提示 





用 户 可 以 在 Assemble 窗口 中 和 给 入 任何 想 输入 的 汇编 指令 ， 输 入 当时 就 能 在 代码 中 
体现 出 来 ， 也 可 以 被 执行 。 这 种 “在 运行 过 程 中 动态 修改 进程 代码 ”的 方式 正 是 调试 
最 强大 的 功能 之 一 。 








在 OllyDbg 中 按 F9 键 运行 程序 ， 弹 出 如 图 2-39 所 示 的 消息 窗口 。 


Sm 








e XE] 


Hello Reversing World!!! 


BE 





图 2-39 ”显示 新 字符 串 

现在 ， 我 们 就 可 以 修改 长 字符 串 了 ( 当然 还 需要 积累 更 多 更 准确 的 基础 知识 )。 
an anM 
若 把 修改 后 的 代码 重新 保存 为 程序 文件 ， 可 以 发 现 程序 无 法 正常 运行 ， 这 是 由 
409F50 这 一 地 址 引起 的 。 可 执行 文件 被 加 载 到 内 存 并 以 进程 形式 运行 时 ， 文 件 并 非 原 
封 不 动 地 被 载 入 内 存 ， 而 是 要 遵循 一 定 规则 进行 。 这 一 过 程 中 ， 通 常 进程 的 内 存 是 存 
在 的 ,但 是 相应 的 文件 偏 移 (offset) 并 不 存在 。 上 面 示例 中 ， 与 内 存 409F50 对 应 的 文 
件 偏 移 就 不 存在 ， 所 以 修改 后 的 程序 无 法 正常 运行 。 若 想 进一步 了 解 其 中 原理 ， 需 要 
学 习 PE 文件 格式 相关 知识 。 学 过 第 13 章 后 就 可 以 理解 了 。 
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大 家 学 到 这 里 都 很 辛苦 了 , 要 想 一 次 性 理解 前 面 学 的 全 部 内 容 是 很 难 的 , 希望 各 位 能 够 反复 
阅读 、 亲 自 操作 。 学 习 C 语 言 编 程 时 , 我 们 总 是 会 从 编写 Hello World! 这 个 简单 的 程序 开始 。 同样， 
学 习 调 试 时 ， 我 们 仍然 从 它 开始 调试 。 希 望 读 者 们 能 够 像 征 服 C 编 程 一 样 征服 调试 。 

其 实 , 调试 在 代码 闭 向 分 析 中 占据 着 非常 大 的 比重 , 也 是 最 有 意思 的 。 希望 本 书 能 够 为 大 家 
传递 些许 调试 的 乐趣 。 

归纳 整理 :OllyDbg 常 用 命令 








i S 快 捷 ou 说 BB 

Step Into F7 执行 一 条 OP Code (操作 码 )， 遇 到 CALL 命 令 时 ， 进 入 函数 
代码 内 部 。 

Step Over F8 执行 一 条 OP Code (操作 码 )， 遇 到 CALL 命 令 时 ,不 进入 函 
数 代码 内 部 ， 仅 执行 函数 本 身 。 

Restart Ctrl+F2 再 次 从 头 调 试 (终止 调试 中 的 进程 ， 重 新 载 入 调试 程序 ) 

Goto Ctrl-G 跳 转 到 指定 地 址 (查看 代码 时 使 用 ， 非 运行 时 命令 ) 

Run F9 运行 ( 遇 到 断 点 时 暂停 ) 

Execute till return Ctrl+F9 执行 函数 代码 内 的 命令 ， 直 到 遇 到 RETN 命 令 ， 用 于 跳出 函 
数 体 

Execute till cursor F4 执行 到 光标 所 在 位 置 (直接 转 到 要 调试 的 位 置 ) 





Comment ; 添加 注释 








CAE) 





g $ 快 捷 ou 说 BA 
User-defined comment 鼠标 右键 菜单 Search for- ”查看 用 户 输入 的 注释 目录 


User-defined comment 





Label š 添加 标签 

User-defined label 鼠标 右键 菜单 Search for- ”查看 用 户 输 入 的 标签 目录 
f User-defined label 

Breakpoint F2 设置 或 取消 断 点 


All referenced text strings 鼠标 右键 菜单 Search for- ”查看 代码 中 引用 的 字符 串 
All referenced text strings 


All intermodular calls 鼠标 右键 菜单 Search for- ”查看 代码 中 调用 的 所 有 API 函 数 
All intermodular calls 

Name in all modules .| 鼠标 右键 菜单 Search for- ”查看 所 有 API 国 数 
Name in all modules 

Edit data Ctrl+E 编辑 数据 

Assemble Space 编写 汇编 代码 


Copy to executable file 鼠标 右键 菜单 Copy to 创建 文本 副本 (修改 的 项 目 被 保留 ) 


executable file 


Assembly (汇编 语言 ) 基础 指令 





E $ w 明 
CALL XXXX 调用 XXXX 地 址 处 的 函数 
JMP XXXX 跳 转 到 XXXX 地 址 处 
PUSH XXXX 保存 XXXX 到 栈 
RETN 跳 转 到 栈 中 保持 的 地 址 


tr (Patch) 进程 数据 与 代码 的 方法 
使 用 OllyDbg 的 编辑 数据 与 汇编 功能 。 





术 语 说 明 
VA (Virtual Address) 进程 的 虚拟 地 址 
OP code (OPeration code) CPU 指令 ( 字 节 码 byte code) 
PE (Portable Executable) Windows 可 执行 文件 (EXE, DLL, SYS4&) 





Q. 我 使 用 的 OllyDbg 软 件 的 用 户 界面 与 书 中 不 同 ， 需 要 设置 某 个 特别 的 显示 选项 吗 ? 

A. 在 OllyDbg 软 件 窗 口中 选择 鼠标 右键 菜单 的 Appearance 选 项 ， 可 以 为 OllyDbg 设 置 颜色 、 
字体 、 高 亮 等 ， 定 制 个 性 化 的 用 户 环境 。 大 家 可 以 在 本 书 源 文 件 包 OllyDbg.ini 文 件 中 看 
到 我 使 用 的 设置 ， 也 可 以 直接 登录 www. reversecore.com 网 站 下 载 OllyDbg.ini 文 件 。 

Q. OllyDbg 软 件 中 ， 快 捷 键 F4 与 F9 的 区 别 是 什么 ? 

A. 首先 ， 两 个 都 是 “运行 ”命令 ，F9 为 Run (运行 )，F4 为 Run to Cursor ( 运行 到 光标 处 )， 
F9 是 运行 整个 程序 的 命令 ， 而 F4 仅 运行 到 当前 光标 所 在 位 置 ， 可 以 把 F4 看 作 断 点 与 F9 命 


令 的 组 合 。 
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Q. 
A. 


第 2 章 逆向 分 析 Hello World! 程 序 


什么 是 启动 函数 ? 

dL. Ah (Stub code) 不 是 用 户 编写 的 代码 ， 而 是 编译 器 任意 添加 的 代码 。 编 译 
程序 时 ， 不 同 编译 器 会 根据 自身 特点 添加 不 同 启 动 函 数 ， 特 别 是 EP 代 码 区 域 中 存在 着 许 
多 启动 函数 ， 它 们 也 被 称 为 启动 代码 (StartUp code )。 调 试 程序 时 ， 我 们 不 需要 仔细 分 
析 这 些 启动 函数 ,但 是 初学 者 有 必要 分 清 程 序 中 哪些 是 启动 函数 ,哪些 是 用 户 代 码 。 项 


望 大 家 调试 时 多 看 一 看 这 些 代 码 ， 熟 悉 后 就 能 轻松 区 分 。 


. 到 底 什 么 是 PE 文件 ， 为 什么 要 等 到 后 面 才 讲解 ? 如 果 不 懂得 PE 文件 是 否 就 无 法 调试 ? 
. PEX Portable Executable 的 简称 ， 它 是 Windows 操 作 系统 下 的 可 执行 文件 的 格式 ， 主 要 包 


含 了 对 文件 规格 的 描述 ， 代 码 遂 向 分 析 技术 的 初学 者 学 习 它 会 感到 非常 吃力 、 无 趣 。 所 
以 我 们 并 没有 在 前 面 详 细 讲解 ， 更 重要 的 是 先 让 大 家 感受 到 调试 的 乐趣 ， 然 后 再 一 点 点 
地 学 习 。 此 外 ， 如 果 不 了 解 PE 文件 结构 的 相关 知识 ， 将 无 法 进行 高 级 调试 。 
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计算 机 领域 中 ， 字 节 序 (Byte Ordering ) 是 多 字 节 数据 在 计算 机 内 存 中 存储 或 网 络 传输 时 各 
字 节 的 存储 顺序 , 主要 分 为 两 大 类 , 一 类 是 小 端 序 ( Little endian ), 另 一 类 是 大 端 序 ( Big endian )。 


3.1 = 


如 前 所 言 ， 字 节 序 是 多 字 节 数据 在 计算 机 内 存 中 存放 的 字 节 顺序 ， 它 是 学 习 程序 调试 技术 
必须 掌握 的 基本 概念 之 一 。 字 节 序 主要 分 为 小 端 序 与 大 端 序 两 大 类 。 请 先 看 如 下 一 段 简单 的 示例 
代码 。 


BYTE Ub. 80x12; 

WORD w = 0x1234; 
DWORD dw = 0x12345678; 
char str[] = "abcde"; 


以 上 代码 中 共有 4 种 数据 类 型 ， 它 们 大 小 不 同 。 下 面 看 看 同一 个 数据 根据 不 同 字 节 序 保存 时 
有 何不 同 。 
表 3-1 大 端 序 与 小 端 序 的 不 同 





TYPE Name SIZE 大 端 序 类 型 小 端 序 类 型 
BYTE b 1 [12] [12] 
WORD w 2 [12][34] [34][12] 
DWORD dw 4 [12][34][56][78] [78][56][34][12] 
char [] str 6 [61][62][63][64][65][00] ^ [61][62][63][64][65][00] 


查看 ASCII 码 表 可 知 , 字母 a 的 ASCII 码 的 十 六 进 制 表 示 为 0x61, 字母 e 的 ASCI 
码 的 十 六 进 制 表示 为 0x65。 此 外 ， 请 记 住 ， 字 符 串 最 后 是 以 NULL 结尾 的 。 


数据 类 型 为 字 节 型 (BYTE) 时 ,其 长 度 为 1 个 字 节 , 保存 这 样 的 数据 时 ， 无论 采 用 大 端 序 还 
是 小 端 序 ， 字 节 顺 序 都 是 一 样 的 。 但 是 数据 长 度 为 2 个 字 节 以 上 ( 含 2 个 字 节 ) BF, 采用 不 同 字 节 
序 保存 它们 形成 的 存储 顺序 是 不 同 的。 采用 大 端 序 存储 数据 时 ， 内 存 地 址 低位 存储 数据 的 高 位 ， 
内 存 地 址 高 位 存储 数据 的 低位 , 这 是 一 种 最 直观 的 字 节 存储 顺序 ; 采用 小 端 序 存 储 数据 时 ， 地址 
高 位 存储 数据 的 高 位 ,地 址 低位 存储 数据 的 低位 ,这 是 一 种 闭 序 存储 方式 ， 保 存 的 字 节 顺序 被 倒 
转 ， 它 是 最 符合 人 类 思维 的 字 节 序 。 比 较 表 3-1 中 存储 在 变量 w 与 dw 中 的 值 就 能 了 解 大 端 序 与 小 
端 序 的 不 同 。 

再 次 强调 一 下 , 数据 为 单一 字 节 时 , 无 论 采 用 大 端 序 还 是 小 端 序 保存 , 字 节 存储 顺序 都 一 样 。 
只 有 数据 长 度 在 2 个 字 节 以 上 时 ， 即 数据 为 多 字 节 数据 ( multi-bytes ) 时 ,选用 大 端 序 还 是 小 端 序 
会 导致 数据 的 存储 顺序 不 同 。 代 码 3-1 中 , 字符 串 “abcde” 被 保存 在 一 个 字符 (Char) 数组 str 中 ， 
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字符 数组 在 内 存 中 是 连续 的 ， 此 时 向 字符 数组 存放 数据 ,无 论 采 用 大 端 序 还 是 小 端 序 ， 存 储 顺 序 
都 相同 。 


3.1.1 大 端 序 与 小 端 序 


采用 大 端 序 保存 多 字 节 数据 非常 直观 ， 它 常用 于 大 型 UNIX 服 务 器 的 RISC 系 列 的 CPU 中 。 此 
外 ， 网 络 协议 中 也 经 常 采用 大 端 序 方式 。 了 解 这 些 ， 对 从 事 x86 系 列 应 用 程序 的 开发 人 员 以 及 代 
码 首 向 分 析 人 员 具 有 非常 重要 的 意义 , 因为 通过 网 络 传 输 应 用 程序 使 用 数据 时 , 往往 都 需要 修改 
字 节 序 。 

如 果 字 节 序 仅 有 大 端 序 这 一 种 类 型 ， 那么 就 没什么 可 说 的 了 。 但 不 幸 的 是 , 它 还 包括 另 一 种 
类 型 一 一 Intel x86 CPU 采 用 的 小 端 序 。 所 以 ， 对 我 们 这 些 从 事 Windows 程 序 逆 向 分 析 的 人 来 说 ， 
切实 掌握 小 端 序 是 十 分 必要 的 。 小 端 序 采用 逆序 方式 存储 数据 , 使 用 小 端 序 进行 算术 运算 以 及 扩 
展 / 缩 小 数据 时 ， 效 率 都 非常 高 。 





3.1.2. 在 OllyDbg 中 查看 小 端 序 


首先 编写 一 个 简单 的 测试 程序 ， 代 码 如 下 : 


#include "windows.h 


BYTE b = 0x12; 

WORD w =  0x1234; 
DWORD dw = 0x12345678; 
char str[] =  "abcde"; 


int main(int argc, char *argv[]) 


1 : 
byte lb = b; 
WORD lw = Ww 
DWORD ldw = dw; 
char ^ *istr = str; 


return 0; 


编 完 代码 后 ， 生 成 LittleEndian.exe 文 件 ， 然 后 用 DllyDbg 调 试 ， 用 Go to 命令 ( 快捷 键 Ctrl+G ) 
跳 转 到 401000 地 址 处 ， 如 图 3-1 所 示 。 














- 83EC 18 SUB ESP ,18 


|085018085 |. ña n8acaono MOU AL,BYTE PTR DS:[48AC48] 


885401888 | . 8845 F3 MOU BYTE PTR SS:[EBP-D],ñL [EBP-D] = 1b 
| 09461098E | . 66:8B0D nnaCh8( MOU CX,UORD PTR DS:[48AC44] 
88501815 |. 66:89nD F^ MOU WORD PTR SS:[EBP-6],CX [EBP-C] = lu 
|08481819 || . 8B15 48AC4888 | HOU EDX,DWORD PTR DS:[A880CA8] 
||e85e181F || . 8955 F8 MOU DWORD PTR SS:[EBP-8],EDX [EBP-8] = ldu 


| 88581822 


: - C745 FC 4CACHO( MOU DWORD PTR SS:[EBP-4],0040AC4C | [EBP-4] = lstr 
|| 88501829 


. S3C8 KOR ERX,ERX 





















d . 8BE5 MOU ESP,EBP 
| 094818629 | . 5D POP EBP 
||8950182E L. c3 RETN 


图 3-1 main) K% 


31 $$ 33 





main0 函 数 地 址 为 401000, 全 局 变量 b、w、dw、str 的 地 址 分 别 为 40AC40、40AC44、40AC48、 
40AC4C。 下 面 通过 OllyDbg 的 数据 窗口 来 分 别 查 看 它们 所 在 的 内 存 区 域 ， 先 使 用 Go to 命令 ( 快 
捷 键 Ctrli+G ) 跳 转 到 40AC40 地 址 处 ， 如 图 3-2 所 示 。 





88480C68, 88 00 OO 88 OO OG OO 88 008 GB OG OO GO 88 88 poaae 

图 3-2 全 局 变量 的 内 存 区 域 
从 图 3-2 中 可 以 看 到 ， 变 量 w 与 dw 中 的 数据 采用 小 端 序 存储 。 
请 注意 ， 本 书 之 后 内 容 默认 所 有 数据 都 采用 小 端 序 方式 存储 ， 和 希望 大 家 可 以 熟练 掌握 。 
提示 MMC 
使 用 OllyDbg 查找 (由 MS Visual C++ 编写 的 ) PE 文件 EP 地 址 的 方法 请 参考 第 2 章 。 
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学 习 程 序 调试 技术 前 必须 掌握 IA-32( Intel Architecture 32 位 ) 寄存 器 相关 内 容 。 


4.1 什么 是 CPU 寄存 器 


寄存 器 (Register) 是 CPU 内 部 用 来 存放 数据 的 一 些小 型 存储 区 域 ， 它 与 我 们 常 说 的 RAM 
( Random Access Memory， 随 机 存储 器 、 内 存 ) 略 有 不 同 。CPU 访 问 ( Access ) RAM 中 的 数据 时 
要 经 过 较 长 的 物理 路 径 ， 所 以 花费 的 时 间 要 长 一 些 ; 而 寄存 器 集成 在 CPU 内 部 ， 拥 有 非常 高 的 读 
写 速 度 。 


为 什么 要 学 习 寡 存 器 


要 想 在 学 习 代 码 逆向 分 析 技 术 初 期 就 掌握 好 程序 调试 技术 ， 必 须 学 习 调 试 器 解析 
(Disassemble， 反 汇编 ) 出 的 汇编 指令 。IA-32 为 我 们 提供 了 数量 非常 庞大 的 汇编 指令 ,一 次 性 掌 
握 它 们 是 非常 不 现实 的 。 我 学 习 时 采用 逐个 击破 的 策略 ,调试 时 , 每 当 遇 到 不 懂 的 指令 就 去 翻 看 
Intel 提 供 的 用 户 手册 , 在 其 中 查找 相关 指令 的 说 明 。 学习 中 遇 到 不 懂 或 忘记 的 命令 就 去 反复 查看 ， 
这 样 就 会 对 众多 指令 越 来 越 熟 悉 。 

我 最 初学 习 汇 编 命令 时 , 最 想 了 解 的 内 容 之 一 就 是 寄存 器 。 大 部 分 汇编 指令 用 于 操作 寄存 器 
或 检查 其 中 的 数据 ， 必 须 掌 握 寄存 器 的 相关 内 容 才 能 真正 明白 这 些 汇 编 指令 的 含义 。 


4.2 |A-32 寡 存 器 


IA-32 是 英特尔 推出 的 32 位 元 架构 ， 属 于 复杂 的 指令 集 架 构 ， 它 提供 了 非常 丰富 的 功能 ， 并 
且 支 持 多 种 寄存 器 。 下 面 列 出 了 IA-32 支 持 的 寄存 器 类 型 。 


IA32 寄 存 器 类 型 


Basic program execution registers 
x87 FPU registers 

MMX registers 

XMM registers 

Control registers 

Memory management registers 

Debug registers 

Memory type range registers 
Machine specific registers 
Machine check register 


以 上 寄存 器 列表 中 ， 我 们 先 要 学 习 基 本 程序 运行 寄存 器 的 相关 内 容 ， 这 是 程序 调试 中 最 常 
见 的 寄存 器 ， 是 学 习 程 序 调试 初级 技术 必须 掌握 的 内 容 。 后 面 学 习 中 、 高 级 程序 调试 技术 时 , 我 
们 将 继续 学 习 有 关 控 制 寄 存 器 (Control registers )、 内 存 管理 寄存 器 ( Memory management 
registers )、 调 试 寄存 器 ( Debug registers ) 的 知识 。 
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基本 程序 运行 寄存 器 
图 4-1 来 自 IA-32 用 户 手 册 ， 描 述 了 基本 程序 运行 寄存 器 的 组 织 结构 ， 它 由 4 类 寄存 器 组 成 。 
Q 通用 寄存 器 (General Purpose Registers, 32 位 ，8 个 ) 
OQ 段 寄 存 器 (Segment Registers，16 位 ，6 个 ) 
Q 程序 状态 与 控制 寄存 器 ( Program Status and Control Registers, 32 位，1 个 ) 
O 指令 指针 寄存 器 (Instruction Pointer，32 位，1 个 ) 


General-Purpose Registers 
31 0 


EAX 
EBX 
ECX 
EDX 
ESI 

EDI 

EBP 
ESP 


Segment Registers 
15 


CS 
DS 
SS 
ES 
FS 
GS 
Program Status and Control Register 
31 0 
A 
31 Instruction Pointer 0 
E ie 


图 4-1 基本 程序 运行 寄存 器 


提示 一 一 
如 图 4-1 所 示 ， 在 寄存 器 名 称 缩 略语 之 前 添加 字母 E (Extended， 扩 展 )， 表 示 该 
寄存 器 在 16 位 CPU (IA-16 ) 时 就 已 经 存在 ， 并 且 其 大 小 在 IA-32 下 由 原 16 位 扩展 为 
32 位 。 


下 面 分别 介 绍 一 下 各 种 寄存 器 。 

1. 通用 寄存 器 

顾名思义 ,通用 寄存 器 是 一 种 通用 型 的 寄存 器 ， 用 于 传送 和 和 暂 存 数据 ， 也 可 参与 算术 逻辑 运 
算 ， 并 保存 运算 结果 。IA-32 中 每 个 通用 寄存 器 的 大 小 都 是 32 位 ， 即 4 个 字 节 ， 主 要 用 来 保存 常量 
与 地 址 等 , 由 特定 汇编 指令 来 操作 特定 寄存 器 。 除 常规 用 途 外 , 某 些 寄存 器 还 具有 一 些 特殊 功能 ， 
请 看 图 4-2 ( 该 图 来 自 IA-32 用 户 手册 )。 
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General-Purpose Registers 


31 16 15 8 7 O 16-bit 32-bit 
AX EAX 

BX EBX 

CX ECX 

DX EDX 

EBP 

ESI 

EDI 

ESP 





图 4-2 通用 寄存 器 


提示 

为 了 实现 对 低 16 位 的 兼容 ， 各 寄存 器 又 可 以 分 为 高 (H: High). 4& (L: Low) 
几 个 独立 寄存 器 。 下 面 以 EAX 为 例 讲解 。 

€ EAX: (0-31) 32 位 

€ AX: (0-15) EAX 的 低 16 位 

e AH: (8-15) AX 的 高 8 位 

€ AL: (07) AX 的 低 8 位 

若 想 全 部 使 用 4 个 字 节 (32 位 )， 则 使 用 EAX; 若 只 想 使 用 2 个 字 节 (16 位 )， 只 
要 使 用 EAX 的 低 16 位 部 分 AX 就 可 以 了 。AX 又 分 为 高 8 位 的 AH 与 低 8 位 的 AL 两 
个 独立 寄存 器 。 借助 这 种 方式 , 可 以 根据 不 同情 况 把 一 个 32 位 的 寄存 器 分 别 用 作 8 位 、 
16 位 、32 位 寄存 器 。 后 面 的 程序 调试 中 ， 我 们 分 析 汇 编 代 码 就 能 很 容易 地 理解 它们 。 


各 寄存 器 的 名 称 如 下 所 示 。 

O EAX: (针对 操作 数 和 结果 数据 的 ) 累加 器 

O EBX: (DS 段 中 的 数据 指针 ) 基 址 寄存 器 

口 ECX: (字符 串 和 循环 操作 的 ) 计数 器 

O EDX: (IO 指针 ) 数据 寄存 器 

以 上 4 个 寄存 器 主要 用 在 算术 运算 (ADD, SUB, XOR, ORA) ) 指令 中 ,常常 用 来 保存 常量 
与 变量 的 值 。 某 些 汇 编 指令 (MUL 、DIV、LODS 等 ) 直接 用 来 操作 特定 寄存 器 ， 执 行 这 些 命令 
后 ， 仅 改变 特定 寄存 器 中 的 值 。 

此 外 ，ECX 与 EAX 也 可 以 用 于 特殊 用 途 。 循 环 命令 (LOOP) 中 ，ECX 用 来 循环 计数 (loop 
count )， 每 执行 一 次 循环 ，ECX 都 会 减 1。EAX 一 般 用 在 函数 返回 值 中 ， 所 有 Win32 API 函 数 都 会 
先 把 返回 值 保 存 到 EAX 再 返回 。 

请 注意 ! 

编写 Windows 汇编 程序 时 ,Win32 API 函数 在 内 部 会 使 用 ECX -5 EDX, 调用 这 些 

API 时 ，ECX 与 EDX 的 值 就 会 改变 。 所 以 ，ECX 与 EDX 中 保存 有 重要 数据 时 ， 调 用 

API 前 要 先 把 这 些 数据 备份 到 其 他 寄存 器 或 栈 。 





通用 寄存 器 中 其 他 几 个 寄存 器 的 名 称 如 下 所 示 。 
口 EBP:( SS 段 中 栈 内 数据 指针 ) 扩展 基 址 指针 寄存 器 
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O ESI: (字符 串 操 作 源 指针 ) 源 变 址 寄存 器 

O EDI: (字符 串 操 作 目 标 指针 ) 目的 变 址 寄存 器 

O ESP: (SS 段 中 栈 指针 ) 栈 指针 寄存 器 

以 上 4 个 寄存 器 主要 用 作 保 存 内 存 地 址 的 指针 。 

ESP 指 示 栈 区 域 的 栈 顶 地 址 ， 某 些 指 令 (PUSH, POP, CALL, RET ) 可 以 直接 用 来 操作 ESP 
( 栈 区 域 管理 是 程序 中 相当 重要 的 部 分 ， 请 不 要 把 ESP 用 作 其 他 用 途 )。 

EBP 表示 栈 区 域 的 基地 址 ， 函 数 被 调用 时 保存 ESP 的 值 ， 函 数 返回 时 再 把 值 返 回 ESP， 保 证 
栈 不 会 崩溃 (这 称 为 栈 帧 ( Stack Frame ) 技术 ， 它 是 代码 逆向 分 析 技术 中 的 一 个 重要 概念 ， 后 面 
会 详细 讲解 ) ESI 和 EDI 与 特定 指令 (LODS、STOS、REP、MOVS 等 ) 一 起 使 用 ， 主 要 用 于 内 
存 复制 。 

2. 段 寡 存 器 

Bt ( Segment ) 这 一 术语 来 自 IA-32 的 内 存 管理 模型 ， 学 习 段 寄存 器 前 ， 先 了 解 一 下 段 的 有 关 
知识 。 

提示 一 
段 寄 存 器 的 相关 知识 对 刚 学 习 代 码 逆向 分 析 技 术 的 人 而 言 比 较 难 。 所 以 阅读 本 部 
分 内 容 时 ， 并 不 需要 完全 掌握 。 随 着 代码 逆向 分 析 技 术 水 平 的 提高 ， 需 要 学 习 段 寄存 
器 时 再 深入 学 习 亦 可 。 


IA-32 的 保护 模式 中 ， 段 是 一 种 内 存 保护 技术 ， 它 把 内 存 划分 为 多 个 区 段 ， 并 为 每 个 区 段 赋 
予 起 始 地 址 、 范 围 、 访 问 权 限 等 ， 以 保护 内 存 。 此 外 ， 它 还 同 分 页 技术 (Paging) 一 起 用 于 将 虚 
拟 内 存 变更 为 实际 物理 内 存 。 段 内 存 记录 在 SDT (Segment Descriptor Table， 段 描述 符 表 ) 中 ， 
而 段 寄 存 器 就 持 有 这 些 SDT 的 索引 (index )。 

请 看 图 4-3《〈 来 自 IA-32 用 户 手册 )， 它 描述 了 保护 模式 下 的 内 存 分 段 模型 。 段 寄存 器 总 共 由 6 
种 寄存 器 组 成 ， 分 别 为 CS、SS、DS、ES、FS、GS， 每 个 寄存 器 的 大 小 为 16 位 ， 即 2 个 字 节 。 另 
外 ， 每 个 段 寄 存 器 指向 的 段 描述 符 (Segment Descriptor) 与 虚拟 内 存 结 合 ， 形 成 一 个 线性 地 址 
( Linear Address )， 借 助 分 页 技术 ， 线 性 地 址 最 终 被 转换 为 实际 的 物理 地 址 (Physical Address )。 

提示 

不 使 用 分 页 技术 的 操作 系统 中 ， 线 性 地 址 直接 变 为 物理 地 址 。 


各 段 寄 存 器 的 名 称 如 下 。 

O CS: Code Segment， 代 码 段 寄存 器 

口 SS: Stack Segment, FRE AITAN 

口 DS: Data Segment， 数 据 段 寄存 器 

O ES: Extra ( Data) Segment， 附 加 (数据 ) 段 寄 存 器 

O FS: Data Segment， 数 据 段 寄存 器 

口 GS: Data Segment， 数 据 段 寄存 器 

顾名思义 ，CS 寄 存 器 用 于 存放 应 用 程序 代码 所 在 段 的 段 基 址 ，SS 寄 存 器 用 于 存放 栈 段 的 段 
基 址 ，DS 寄 存 器 用 于 存放 数据 段 的 段 基 址 。ES 、FS 、GS 寄 存 器 用 来 存放 程序 使 用 的 附加 数据 段 
的 段 基 址 ， 如 图 4-3 所 示 。 
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Segment Segment LinearAddress Space 
Registers Descriptors (or Physical Memory) 


[ cs j> [recess 1 Limit | 
Base Address 






















Base Address 


Base Address 



















Base Address 






Base Address 


Base Address 


Base Address 


Base Address 


Base Address 


图 4-3 ”分 段 内 存 模型 


程序 调试 中 会 经 常用 到 FS 寄存 器 ， 它 用 于 计算 SEH (Structured Exception Handler， 结 构 化 异 
常 处 理 机 制 ). TEB ( Thread Environment Block， 线 程 环境 块 )、PEB ( Process Environment Block, 
进程 环境 块 ) 等 地 址 ， 这 些 都 属于 高 级 调试 技术 ， 以 后 会 为 大 家 详细 讲解 。 

3. 程序 状态 与 控制 寄存 器 

€ EFLAGS: Flag Register， 标 志 寄 存 器 

IA-32 中 标志 寄存 器 的 名 称 为 EFLAGS， 其 大 小 为 4 个 字 节 (32 位 )， 由 原来 的 16 位 FLAGS 寄 
存 器 扩展 而 来 。 

如 图 4-4 所 示 ，EFLAGS 寄 存 器 的 每 位 都 有 意义 ， 每 位 的 值 或 为 1 或 为 0， 代 表 On/Off 或 
True/False。 其 中 有 些 位 由 系统 直接 设 定 ， 有 些 位 则 根据 程序 命令 的 执行 结果 设置 。 


























Flag 一 词 具 有 “旗帜 "、“ 旗 标 ” 的 意思 , “升旗 ”时 设 为 1 ( On/True ), “ 降 旗 ”时 
设 为 0 ( Off/False )。 


如 上 所 述 ，EFLAGS 寄 存 融 共有 32 个 位 元 ， 掌 握 每 位 的 含义 是 相当 困难 的 。 学 习 代 码 逆向 分 
析 技 术 的 初级 阶段 ， 只 要 掌握 3 个 与 程序 调试 相关 的 标志 即 可 ,分别 为 ZF (Zero Flag， 零 标志 )、 
OF (Overflow Flag, iib). CF (Carry Flag， 进 位 标志 )。 

提示 一 
以 上 3 个 标志 之 所 以 重要 ， 是 因为 在 某 些 汇编 指令 ， 特 别 是 Joc (条 件 跳 转 ) 指令 
中 要 检查 这 3 个 标志 的 值 ， 并 根据 它们 的 值 决 定 是 否 执行 某 个 动作 。 
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1 30 29 28 27 26 25 24 23 22 21 20 19 18 17 16 15 14 13 12 11 10 


3 ye 7 6 S 4 3 2 T O 
TY v|R|. ÍN o|o|!|r|s|z ë 
plelclmlel | F rF|F|F|F F 


ID Flag (ID) 

Virtual Interrupt Pending (VIP) 
Virtual Interrupt Flag (VIF) 
Alignment Check (AC) 
Virtual-8086 Mode (VM) 
Resume Flag (RF) 

Nested Task (NT 

1/0 Privilege Level (IOPL) 
Overflow Flag (OF) 
Direction Flag (DF) 
Interrupt Enable Flag (IF) 
Trap Flag (TF) 

Sign Flag (SF) 

Zero Flag (ZF) 

Auxiliary Carry Flag (AF) 
Parity Flag (PF) 

Carry Flag (CF) 


n» 
rovo- 


Un UA LA LA LA X X r? UA X X X X X x x > 


Indicates a Status Flg 
Indicates a Control Flag 
Indicates a Systern Flag 


> r 


Reserved bit positions. DO NOT USE. 
Always set to values previously read. 


图 4-4 ”EFLAGS 寄 存 器 


e ZF 
若 运 算 结 果 为 0， 则 其 值 为 1 ( True )， 否 则 其 值 为 0 ( False )。 
e OF 
有 符号 整数 (signed integer) 溢出 时 ，OF 值 被 置 为 1。 此 外 ，MSB (Most Significant Bit, 
最 高 有 效 位 ) 改变 时 ， 其 值 也 被 设 为 1。 
e CF . 
无 符号 整数 (unsigned integer ) 溢出 时 ， 其 值 也 被 置 为 1。 
刚 开 始 会 混淆 OF 和 CF 的 发 生 条 件 ， 导 致 结果 不 尽 如 人 意 。 不 断 积累 调试 经 验 就 能 明确 区 
分 了 。 
4. 指令 指针 寄存 器 
€ EIP: Instruction Pointer， 指 令 指针 寄存 器 
指令 指针 寄存 器 保存 着 CPU 要 执行 的 指令 地 址 ， 其 大 小 为 32 位 〈4 个 字 节 )， 由 原 16 位 IP 寄 存 
器 扩展 而 来 。 程 序 运 行 时 ，CPU 会 读 取 EP 中 一 条 指令 的 地 址 ， 传 送 指令 到 指令 缓冲 区 后 ，EIP 寄 
存 器 的 值 自动 增加 ， 增 加 的 大 小 即 是 读 取 指令 的 字 节 大 小 。 这 样 ，CPU 每 次 执行 完 一 条 指令 ， 就 
会 通过 EIP 寄 存 器 读 取 并 执行 下 一 条 指令 。 
与 通用 寄存 器 不 同 ， 我 们 不 能 直接 修改 EIP 的 值 ， 只 能 通过 其 他 指令 间接 修改 ， 这 些 特定 指 
令 包括 JMP、Jcec、CALL、RET。 此 外 ,我们 还 可 以 通过 中 断 或 异常 来 修改 EIP 的 值 。 
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43 小结 


我 们 已 经 简单 学 习 了 一 些 关 于 IA-32 寄 存 器 的 知识 , 这 些 都 是 学 习 程 序 调试 必须 掌握 的 内 容 。 
学 习 调 试 技术 首先 要 掌握 汇编 指令 ,而 很 多 汇编 指令 都 用 于 操作 寄存 器 , 所 以 学 好 寄存 器 相关 知 
识 对 学 习 调 试 技术 有 非常 大 的 帮助 。 后 面 学 习 高 级 调试 技术 ( 内 核 调 坛 、 反 调试 技术 ) 时 ， 还 会 
学 习 其 他 非 IA-32 架构 寄存 器 的 相关 内 容 。 


QRA 


Q. 寄存 器 好 难 学 啊 ! 
A. 刚 开始 先 了 解 8 个 通用 寄存 器 的 用 途 即 可 ,程序 调试 学 习 过 程 中 会 逐渐 掌握 更 多 用 法 。 





som $ 


栈 (Stack) 的 用 途 广泛 ,通常 用 于 存储 局 部 变量 、 传 递 函数 参数 、 保 存 函 数 返回 地 址 等 。 
调试 程序 时 需要 不 断 查看 栈 内 存 ， 所 以 掌握 栈 的 运行 原理 对 于 提升 程序 调试 水 平 是 非常 有 帮 
助 的 。 


5.1 dX 


栈 内 存在 进程 中 的 作用 如 下 : 

(1) 暂时 保存 函数 内 的 局 部 变量 。 

(2) 调用 函数 时 传递 参数 。 

(3) 保存 函数 返回 后 的 地 址 。 

栈 其 实 是 一 种 数据 结构 ， 它 按照 FILO ( First In LastOut， 后 进 先 出 ) 的 原则 存储 数据 。 后 面 
会 通过 一 个 示例 向 大 家 证 明 这 一 点 。 


5.1.1 栈 的 特征 
栈 内 存 的 结构 一 般 如 图 $-1 所 示 ， 下 面 简单 讲解 一 下 。 


初始 栈 指针 





图 5-1 f 


一 个 进程 中 ， 栈 项 指针 (ESP ) 初始 状态 指向 栈 底 端 。 执 行 PUSH 命令 将 数据 压 人 栈 时 ， 栈 
项 指针 就 会 上 移 到 栈 顶 端 。 执 行 POP 命令 从 栈 中 弹出 数据 时 ， 若 栈 为 空 ， 则 栈 顶 指针 重新 移动 到 
栈 底 端 。 换 言 之 ， 栈 是 一 种 由 高 地 址 向 低地 址 扩展 的 数据 结构 ， 图 5-1 中 ， 栈 是 由 下 往 上 扩展 的 。 
由 于 栈 具 有 这 种 特征 ， 所 以 我 们 常常 说 “ 栈 是 逆向 扩展 的 ”， 向 栈 中 压 数据 就 像 一 层 层 砌 砖 ， 每 
向 上 砌 一 层 ， 砖 墙 就 增高 一 点 儿 。 


5.1.2 ” 栈 操作 示例 


栈 实 际 是 怎样 操作 的 呢 ? 下 面 利用 OllyDbg 为 大 家 准备 了 一 个 简单 示例 ( Stack.exe )， 以 帮助 
各 位 理解 。 








请 注意 ，Stack.exe 是 为 验证 栈 工作 原理 而 编写 的 文件 ， 我 已 经 修改 了 其 内 部 运行 
代码 ， 直 接 双 击 运 行 它 会 发 生 错误 。 此 外 ， 调 试 过 程 中 ， 寄 存 器 的 初始 值 与 栈 的 初 址 
等 会 随 运 行 环境 的 不 同 而 不 同 。 





图 $-2 显 示 了 栈 的 初始 状态 ， 栈 顶 指针 的 值 为 12FF8C， 观 察 右 下 角 的 栈 窗口 ， 可 以 看 到 ESP 
向 的 地 址 及 其 值 。 


004010600 S ` 

















8Oh81885 |. 58 | POP EAX 





i X ?71B1162 kernel32.BaseThre 
855016086 | . 98 | NOP EEX 88888888 
80501887 |. 98 NOP € 88481888 Stack.<HoduleEntri 
865018098 |. 980 | NOP EBX 7FFDB888 
80401009 || . 98 | NOP [s I 
804581008 || . 98 | NOP 
80501088 |. 90 | NOP 98080808 
8850180C || . 98 | NOP EDI 660000608 
B8848188D |. 99 [tar 


EIP 88501888 Stack.«ModuleEntri 












00491 00F 

i C 0 ES 8823 32bit B(FFFFFFFF) 
P 1 CS 004p 32bit B(FFFFFFFF) 
a k Se 
二 



















56 
B01 8012FFDH 
8912FF98 E 






RETURN to nt 


7FFDBBB88 


在 代码 窗口 中 按 F7 键 (Step Into )， 执 行 401000 地 址 处 的 PUSH 10084 

图 5-3 中 ESP 值 变 为 12FF88， 比 原来 减少 了 4 个 字 节 。 并 且 当 前 的 楼 顶 指针 指向 12FF88 地 址 ， 
s a 换言之 ， 执 行 PUSH 命 令 时 ， 数 值 100 被 压 人 栈 ，ESP 随 之 向 上 移动 ， 
即 ESP 的 值 减少 了 4 个 字 节 。 再 次 按 F7 键 (Step Into )， 执 行 401005 地 址 处 的 POP EAX 命令 。 


9065601088 r$ 68 QUNM | PUSH 188 











08481606 i- ECX 88866806 
0581807 EDX 88581888 Stack.«HoduleEntrt 
805801888 | E ?FFDB B88 

0685016809 
88561686R 


08561808 868888088 
08646188C 


09481800 EDI 80808069 
9948188E ||. EIP 08581805 Stack.08681005 
Pann 


C 8 ES 86023 32bit B(FFFFFFFF) 
Stack [0012FF88]-08000100 ! P 1 CS B0B 32bit O(FFFFFFFF) 
EAX=771B1162 (kernel32.BaseThreadInitThunk) 



























885060BS8|B1 19 BF 44 80 HA 88 88 
805860180 AG DQ 4G 68 HA GA 88 G6 






8812FF98|| 7729B3F5| RETURN to nt 


图 $-3 PUSH 命令 


执行 完 POP EAX 命令 后 ，ESP 值 又 增加 了 4 个 字 节 ， 变 为 12FF8C, 栈 又 变 为 图 $-2 中 的 初始 状 
态 ， 如 图 $-4 所 示 。 换 言 之 ， 从 栈 中 弹出 数据 后 ，ESP 随 之 向 下 移动 。 向 栈 压 人 数据 与 从 栈 中 弹出 
数据 时 ， 栈 项 指针 的 变化 情形 归纳 如 下 : 


向 栈 压 入 数据 时 ， 栈 顶 指 针 减 小 ， 向 低地 址 移动 ; 从 栈 中 弹出 数据 时 ， 栈 顶 指针 增 
加 ， 向 高 地 址 移动 。 
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88481867 

88481008 BN FDBS80 

88481809 ESP 8812FF8C 

98481668 EBP B812FF95 

08481060B ESI 08886888 

804 81886C EDI 80888808 

8858188D 
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E 8 _ ES C EA 32bit ERE EET 





9848€ 000 81 88 88 88 uE E6 E 
88458C888|B1 19 BF 44 80 88 80 88 ?8.. 
8848C018|R8 DA A48 88 00 88 NA OB|7!G..... 
$050C018|n8 DA 4O 086,01 61 86 88 Bie. ££. 


图 $-4 POP 命令 


还 请 记 住 ， 栈 顶 指针 在 初始 状态 下 指向 栈 底 。 这 就 是 栈 的 特征 。 
上 面 这 个 简单 示例 验证 了 栈 的 工作 原理 ， 展 现 了 向 栈 压 人 或 弹出 数据 时 栈 顶 指 指针 的 变化 规 
律 。 程 序 调试 中 ， 栈 与 栈 项 指针 的 变化 是 十 分 重要 的 ， 调 试 时 要 密切 关注 。 


第 6 章 “分析 abex': crackme#1 


本 章 我 们 将 分 析 一 个 非常 简单 的 crackme 小 程序 ， 以 进一步 熟悉 调试 器 与 汇编 代码 。 当 然 ， 
我 们 的 目标 并 不 是 为 了 破解 ( Crack ) 它 ， 而 是 通过 它 来 加 深 对 汇编 代码 与 调试 技术 的 认识 。 

顾名思义 ，crackme 就 是 “破解 我 ”的 意思 ， 它 们 都 是 一 些 公开 用 作 破 解 练习 的 小 程序 。 作 
为 代码 逆向 分 析 技 术 的 初学 者 ， 尝 试 分 析 一 些 简单 的 crackme 小 程序 可 以 验证 自己 掌握 的 技术 ， 
加 深 对 调试 器 及 汇编 代码 的 认识 。Abex’ crackme 就 是 这 样 一 个 简单 的 著名 小 程序 , 国内 外 有 许多 
网 站 都 对 它 进行 了 详细 讲解 与 说 明 。 将 自己 的 破解 方法 与 其 他 人 的 相 比 较 , 这 样 能 进一步 提高 自 
己 的 水 平 。 


6.1 abex' crackme #1 


调试 前 先 运行 abex’ crackme #1 这 个 程序 ， 大 致 了 解 一 下 它 。 
如 图 6-1 所 示 , 双击 运行 程序 后 弹出 一 个 消息 窗口 ,显示 “Make me think your HD is a CD-Rom" 
消息 。 我 刚 开始 并 不 理解 这 人 句 英 文 。 








Make me think your HD is a CD-Rom. 


| 
图 6-1 运行 程序 
消息 的 最 后 部 分 出 现 了 “CD-Rom” 这 个 词 ， 我 们 只 能 根据 它 大 致 推测 出 前 面 的 HD 为 HDD 
( Hard Disk Drive) 的 意思 。 由 于 没有 更 多 选择 ， 我 们 继续 按 消 息 窗口 中 的 “确定 ”按钮 。 
如 图 6-2 所 示 ， 程 序 弹出 Error 消 息 窗 后 就 终止 运行 了 。 但 是 abex 到 底 想 要 干什么 ( 要 怎样 破 
解 什么 ) 仍然 不 得 而 知 。 下 面 直接 调试 分 析 它 ， 把 握 这 个 小 程序 的 意图 。 














Nah... This is not a CD-ROM Drive! 








Ww == 


图 6-2 弹出 消息 窗 





所有 
大 多 数 crackme 小 程序 都 让 我 们 猜测 序列 号 〈 serial key )， 但 是 abex#1 稍 显 特殊 。 


6.1 abex’ crackme #1 45 





6.1.1 开始 调试 
iiei S he ld ， 代 码 窗 口中 可 以 看 到 程序 的 汇编 代码 ， 如 图 6-3 所 示 。 





00401008 


00402000 






















00401062 

00401067 || . 68 12204000 |PUSH 09402012 = "Make me think your HD is a CD-Rom.” 
0040108C || . óA 808 PUSH 0 hüuner = NULL 

8650188E || . E8 NE000000 |CALL <JMP.&USER32.MessageBoxñ> MessageBox 

00501013 || . 68 94204000 |PUSH 00502095 HootPathMame = "c:Ww" 

604819018 . E8 38000000 CALL <JMP.6KERHEL32.GetDriueTupeñ> [eetpriverypen 

B050101D . ^6 INC ESI 

0850101E . A8 DEC ERX kerne132.BaseThreadInitThunk 

08501801F .. EB 88 JMP SHORT 86581821 

08401821 |> 46 | INC ESI 

064016822 . 86 INC EST 

00501023 || . 48 DEC ERX kerne132.BaseThreadInitThunk 

60401824 . 3BC6 CMP ERX,ESI 

08501826 s. 75 15 JE SHORT 008491030 

06481028 . óA 88 PUSH & Style = MB OK|MB APPLHODAL 

06501028 - 68 35205008 PUSH 00402635 Title "Error" 

0850182F . 68 382058008 PUSH 00462838B Text = "Hah... This is not a CD-ROM Drive!" 
80501935 . ÓA BB PUSH 8 hüuyner = NULL 

88481836 . E8 26800000 CALL <JMP.&USER32.MessageBoxñ> HessageBoxf 

00581038 .. EB 13 JMP SHORT 085481058 

9050183D ||» óA 88 PUSH 0 Style = MB O0K|HMB RPPLMODRL 

00840103F - 68 5E205000 PUSH 0850205E Title = "YEAH?" 

08501054 || . 68 65205000 PUSH 005020654 Text = "Ok, I really think that your HD is a CD-ROM? :p" 
069461049 . óA 808 PUSH 0 hüuner - NULL 

00481046 E8 11800008 CALL <JMP.&USER32.MessaqeBoxñ> HessaqeBoxñ 

60501058 》 E8 06000000 CALL <JMP.&KERHEL32.ExitProcess> ExitProcess 


图 6-3 ”EP 代码 


EP 代码 非常 短 , 它 与 我 们 前 面 分 析 的 HelloWorld.exe 有 非常 大 的 不 同 。 这 是 因为 abex’ crackme 

序 是 使 用 汇编 语言 编写 出 来 的 可 执行 文件 。 

使 用 VC++、VC、 rT quein ， 除 了 自己 编写 的 代码 外 ， 还 有 一 部 分 启动 
函数 是 由 编译 器 添加 的 ， 经 过 反 编 译 后 ， 1 de bat 但 是 如 果 直 接 使 用 汇编 语 
言 编写 程序 , 汇编 代码 会 直接 变 为 反 汇 编 代 码 。 观 察 图 6-3 中 的 代码 可 以 看 到 ，main() 直 接 出 现在 
EP 中 ， 简 洁 又 直观 ， 充 分 证 明了 这 是 一 个 直接 用 汇编 语言 编写 的 程序 。 


6.1.2 ”分析 代码 
由 于 代码 非常 简短 , 我 们 一 点 点 地 分 析 , 重点 看 图 6-3 中 右上 部 分 关于 Win32 API 调 用 的 内 容 。 


MessageBox("Make me think your HD is a CD-Rom.") 
GetDriveType("C:NN") 


MessageBox("Nah... This is not a CD-ROM Drive!") 
MessageBox("OK, I really think that your HD is a CD-ROM! :p") 
ExitProcess() 


如 果 之 前 大 家 从 事 过 Windows 应 用 程序 的 开发 ， 那 么 对 以 上 几 个 函数 的 含义 应 该 非常 了 解 。 
从 上 述 代码 的 分 析 中 , 我 们 能 够 准确 把 握 程序 制作 者 的 真正 意图 。 在 消息 窗口 按 “ 确 定 ” 后 , WE 
序 会 调用 GetDriveType0 API， 获 取 C 驱 动 器 的 类 型 ( 大 部 分 返回 的 是 HDD 类 型 )， 然 后 操作 它 ， 
使 之 被 识别 为 CD-ROM 类 型 ,再 在 消息 窗口 中 输出 “OK, Ireally think that your HD isa CD-ROM!:p” 
消息 。 下 面 逐 行 分 析 crackme 的 代码 。 


; 调用 MessageBoxA( ) X š 
00401000 PUSH 0 
00401002 PUSH 402000 
00401007 PUSH 402012 
0040100C PUSH 0 
0040100E CALL 00401061 


Style = MB OK|MB APPLMODAL 

Title = "abex' 1st crackme" 

Text = "Make me think your HD is a CD-Rom." 
hOwner - NULL 

MessageBoxA 

在 函数 内 部 ESI 被 设置 为 FFFFFFFF 


“e w. ve ve we s. 


T 
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; #38JHGetDriveType() X 


00401013 PUSH 402094 ; RootPathName = "c:NN” 
00401018 CALL 00401055 ; GetDriveTypeA 
; 返回 值 (EAX) X3 (DRIVE FIXED) 
0040101D INC ESI ; ESI = 0 
0040101E DEC EAX ; EAX = 2 
0040101F JMP SHORT 00401021 ; 无 意义 的 JMP 命 令 (垃圾 代码 ) 
00401021 INC ESI F: EST mp 
00401022 INC ESI ; ESI = 2 
00401023 DEC EAX ; EAX = 1 
; 条 件 分 支 (401028 40103D) 
00401024 CMP EAX,ESI ; 比较 EAX(1) 与 EAX(2) 


90401026 JE SHORT 0040103D ; JE (Jump if Equal) 条 件 分 支 命令 
; 车 两 值 相等 ， 则 跳 转 到 40103D， 
; 若 两 值 不 等 ， 则 从 401028 继 续 执 行 


; 在 49193D 地 址 为 消息 框 输出 代码 


; MessageBoxA ( ) i 4c i8 M X Tc 

00401028 PUSH 0 ; Style = MB OK|MB APPLMODAL 

0040102A PUSH 402035 ; Title Eror. 

0040102F PUSH 40203B ; Text = "Nah... This is not a CD-ROM Drive!” 

00401034 PUSH 0 ; hOwner = NULL 

00401036 CALL 00401061 ; MessageBoxA 

0040103B JMP SHORT 00401050 

; MessageBoxA( ) ¿; š£ 28) f] x x 

0040103D PUSH 0 ; Style = MB OK|MB APPLMODAL 

0040103F PUSH 40205E ; Title = "YEAH!” 

00401044 PUSH 402064 ; Text = "Ok, I really think that your HD 
is a CD-ROM! :p" 

00401049 PUSH 0 ; hOwner = NULL 

0040104B CALL 00401061 ; MessageBoxA 

; 终止 进程 

00401050 CALL 0040105B ; ExitProcess 


上 述 代码 中 使 用 的 汇编 指令 并 不 难 ， 但 是 对 尚未 熟悉 汇编 代码 的 朋友 来 说 还 是 有 一 定 难度 
的 ， 所 以 我 们 在 代码 中 添加 了 注释 ， 阅 读 注释 就 能 轻松 理解 各 命令 含义 了 。 
提示 
上 述 代 码 中 使 用 的 汇编 指令 说 明 如 下 。 


指 令 说 — BB 
PUSH 入 栈 指令 
CALL 调用 指定 位 置 的 函数 
INC 值 加 1 
DEC 值 减 1 
JMP 跳 转 到 指定 地 址 


CMP 比较 给 定 的 两 个 操作 数 * 与 SUB 命 令 类 似 ， 但 操作 数 的 值 不 会 改变 ， 仅 改变 
EFLAGS 寄 存 器 〈 若 2 个 操作 数 的 值 一 致 ，SUB 结 果 为 0，ZF 被 置 为 1) 


JE 条 件 跳 转 指令 (Jump if equal) “* 若 ZE 为 1， 则 跳 转 
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6.2 破解 


下 面 修改 汇编 指令 代码 来 破解 这 个 小 程序 。 
J === —— E 
代码 逆向 分 析 技 术 中 ,我们 把 有 意 将 已 有 代码 (或 数据 ) 履 盖 为 其 他 代码 的 行为 
称 为 “ 打 补 丁 ”( patch )。 


首先 移动 光标 到 401026 地 址 处 ， 按 空格 键 ， 在 打开 的 汇编 窗口 中 将 汇编 指令 正 SHORT 
0040103D 更 改 为 JMP 0040103D， 如 图 6-4 所 示 。 







00481028 
89481826 || ^5 
86481082F ||| [MPs 


88481835 
00581036 ~ 

Iv. Fil with NOP's Canca | 
图 6-4 ”修改 汇编 命令 


08481683B 
B04018030 
换言之 , 通过 汇编 命令 窗口 将 条 件 分 支 语 句 ( JE ) 替换 为 无 条 件 跳 转 语句 (JMP ), 非常 简单 。 
在 OllyDbg 中 使 用 Copy to executable 命 令 ， 可 以 把 修改 后 的 代码 保存 为 文件 ， 具 体操 作 可 以 
参考 前 面 HelloWorld.exe 中 的 相关 内 容 。 
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结束 本 章 前 , 再 向 大 家 介绍 一 个 代码 逆向 分 析 中 比较 重要 的 内 容 
压 人 栈 的 方法 。 

首先 ,请 看 地 址 900401000~0040100E 之 间 的 命令 ， 可 以 发 现 调用 MessageBoxA() 函 数 之 前 使 
用 了 4 个 PUSH 命令 ， 把 函数 需要 的 参数 逆序 压 人 栈 。 





函数 调用 时 将 函数 参数 


00401000 PUSH 0 ; Style = MB OK|MB APPLMODAL 

00401002 PUSH 402000 ; Title = "abex' 1st crackme" 

00401007 PUSH 402012 ; Text = "Make me think your HD is a CD-Rom." 
0040100C PUSH 0 ; hOwner - NULL 

0040100E CALL 00401061 ; MessageBoxA 


将 上 述 汇编 代码 转换 为 C 语 言 函 数 调用 代码 ， 如 下 所 示 。 


MessageBox (NULL, "Make me think your HD is a CD-Rom.", "abex' lst 
crackme", MB OK|MB APPLMODAL); 


比较 C 语 言 代 码 与 汇编 代码 可 以 看 到 ， 函 数 调用 时 的 参数 顺序 CEF ) 与 参数 入 栈 时 的 顺序 
(逆序 ) 相反 。 那 么 参数 人 栈 时 ， 为 什么 要 采用 这 种 逆序 的 方式 呢 ? 要 想 理 解 这 个 问题 ， 想 想 栈 
内 存 结构 (FILO, First In Last Out 或 LIFO，Last In First Out ) 即 可 。 


“ 栈 的 结构 是 FILO ( 先进 后 出 )， 所 以 把 参数 压 入 栈 时 ， 只 有 按照 逆序 的 方式 压 入 ， 
MessageBoxA(O 函 数 才 能 以 正确 的 顺序 接收 到 这 些 参 数 。” 


利用 调试 器 执行 到 EIP=0040100E 地 址 处 ， 观 察 右 下 角 栈 窗口 ， 如 图 6-5$ 所 示 。 
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图 6-5 fX 


x86 环 境 下 ， 栈 向 低地 址 延伸 ( 即 向 栈 压 人 数据 时 ，EPS 值 减 小 ， 向 低地 址 方向 移动 )， 观 察 
图 6-$ 中 的 栈 窗口 可 以 看 到 ，MessageBoxA0 函 数 的 第 一 个 参数 在 栈 顶 位 置 ， 最 后 一 个 参数 (第 四 
个 参数 ) 在 其 他 参数 下 面 ， 从 PUSH 命令 执行 的 顺序 可 以 很 容 马 地 理解 这 点 。 


0012FFB4 00000000  hOwner = NULL (1st param) 

0012FFB8 00402012 Text = "Make me think your HD is a CD-Rom." (2nd param) 
0012FFBC 00402000 Title = "abex' 1st crackme" (3rd param) 

0012FFCO 00000000 Style = MB OK|MB APPLMODAL (4th param) 


MessageBoxA() 函 数 从 栈 中 获取 需要 的 参数 时 ， 存 储 在 栈 中 的 参数 会 按照 FILO ( 先进 后 出 ) 
的 规则 依次 弹出 。 从 MessageBoxA() 函 数 获取 参数 的 角度 来 看 ， 参 数 就 像 按 照 原来 顺序 被 存 入 栈 


6.4 小 结 


本 章 的 破解 方法 虽然 简单 , 但 为 初次 接触 这 方面 内 容 的 朋友 进行 了 详细 讲解 。 此 处 的 破解 仅 
仅 是 为 了 更 好 地 学 习 代码 逆向 分 析 技术 而 做 的 练习 , 希望 大 家 将 重点 放 在 进一步 学 习 高 级 代码 逆 
向 分 析 技术 上 ， 打 好 基础 。 
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Q. 分 析 代 码 时 ， 从 MessageBoxA() 函 数 的 注释 中 可 以 看 到 ，ESI 被 设置 为 了 0xFFFFFFFF， 
这 是 怎么 知道 的 呢 ? 

A. 在 调用 MessageBoxA( 函 数 的 地 址 处 按 F8 键 ( StepOver ), ESI 就 会 改变 。 实 际 上 , Win32 API 
被 调用 后 ， 某 些 特 定 寄 存 器 的 值 就 会 改变 ， 编 写 Win32 汇 编程 序 时 要 特别 注意 这 一 点 。 

Q. 为 什么 会 有 垃圾 代码 ? 


A. 调试 时 ， 这 些 代 码 被 故意 插入 汇编 代码 来 迷惑 代码 逆向 分 析 人 员 。 
Q. 调试 时 ， 将 401023 地 址 处 的 “DEC EAX” 命 令 替 换 为 NOP 命 令 ， 然 后 按 F9 命 令 运行 程 
序 ， 程 序 破解 成 功 。 但 把 更 改 保存 为 文件 后 执行 时 ， 破 解 却 失败 了 ， 请 问 为 什么 会 出 现 


这 种 情况 ? 

A. 首先， 这 种 破解 尝试 是 非常 值得 表扬 的 。 但 本 例 中 选择 在 401023 处 破解 是 不 合适 的 ， 这 
是 因为 在 不 同 版 本 的 操作 系统 ， 如 Win XP/7 中 ， 结 果 值 是 不 同 的 ， 而 且 在 不 同 版 本 的 
OllyDbg 1.1/1.2 中 也 是 不 一 样 的。 虽然 破解 方法 多 种 多 样 , 但 最 好 从 受 外 部 影响 最 小 的 条 
件 分 支 语 名 入手 破解 。 强 烈 的 好 奇 心 与 实践 精神 是 学 好 代码 逆向 分 析 技 术 的 原动力 ， 经 
历 过 很 多 错误 后 ， 方 能 成 为 一 名 出 色 的 代码 逆向 分 析 专 家 。 


第 7 章 ” 栈 帧 


本 章 我 们 将 学 习 栈 帧 ( Stack Frame ) 相关 知识 , 栈 帧 在 程序 中 用 于 声明 局 部 变量 、 调 用 函数 。 
理解 了 栈 帧 ， 就 能 轻松 掌握 保存 在 其 中 的 函数 参数 和 局 部 变量 ， 这 对 我 们 调试 代码 也 是 很 有 帮助 的 。 

目标 

口 理解 栈 帧 的 运行 原理 。 

口 编写 简单 的 程序 ， 通 过 调试 观察 栈 帧 情况 。 

a 详细 讲解 几 个 简单 的 汇编 指令 。 


7.A El 


简 言 之 ， 栈 帧 就 是 利用 EBP ( 栈 帧 指针 ， 请 注意 不 是 ESP ) 寄存 器 访问 栈 内 局 部 变量 、 参 数 、 
函数 返回 地 址 等 的 手段 。 通 过 前 面 关于 IA-32 寄 存 器 的 学 习 我 们 知道 , ESP 寄 存 器 承担 着 栈 顶 指针 
的 作用 ， 而 EBP 寄存 器 则 负责 行使 栈 帧 指针 的 职能 。 程 序 运行 中 ，ESP 寄 存 器 的 值 随时 变化 ， 访 
问 栈 中 函数 的 局 部 变量 、 参 数 时 ， 若 以 ESP 值 为 基准 编写 程序 会 十 分 困难 ， 并 且 也 很 难 使 CPU 引 
用 到 准确 的 地 址 。 所 以 , 调用 某 函 数 时 , 先 要 把 用 作 基 准点 ( 函数 起 始 地 址 ) 的 ESP 值 保存 到 EBP， 
并 维持 在 函数 内 部 。 这 样 ， 无 论 ESP 的 值 如 何 变化 ， 以 EBP 的 值 为 基准 〈base ) 能 够 安全 访问 到 
相关 函数 的 局 部 变量 、 参 数 、 返 回 地 址 ， 这 就 是 EBP 寄存 器 作为 栈 帧 指针 的 作用 。 

接 下 来 看 看 栈 帧 对 应 的 汇编 代码 。 


代码 7-1， 栈 帧 结构 





PUSH EBP ; 函数 开始 【使 用 EBP 前 先 把 已 有 值 保存 到 栈 中 ) 
MOV EBP，ESP ; 保存 当前 ESP 到 EBP 中 
; 函数 体 
; 无 论 ESP 值 如 何 变化 ，EBP 都 保持 不 变 ， 可 以 安全 访问 函数 的 局 部 变量 、 参 数 
MOV ESP，EBP ; 将 函数 的 起 始 地 址 返回 到 ESP 中 
POP EBP ; 函数 返回 前 弹出 保存 在 栈 中 的 EBP 值 
RETN ; 函数 终止 


借助 栈 帧 技术 管理 函数 调用 时 ,无 论 函 数 调 用 的 深度 有 多 深 、 多 复杂 ,调用 栈 都 能 得 到 很 好 
的 管理 与 维护 。 : 
DE —————————— M s xÍ —s—y 
e 最 新 的 编译 器 中 都 带 有 一 个 “优化 ”( Optimization ) 选项 ， 使 用 该 选项 编译 简 
单 的 函数 将 不 会 生成 栈 帧 。 
e 在 栈 中 保存 函数 返回 地 址 是 系统 安全 隐患 之 一 ， 攻 击 者 使 用 缓冲 区 溢出 技术 能 
够 把 保存 在 栈 内 存 的 返回 地 址 更 改 为 其 他 地 址 。 





7.2 调试 示例 : stackframe.exe 
下 面 调试 一 个 非常 简单 的 程序 来 进一步 了 解 栈 帧 相关 知识 。 
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7.2.1 StackFrame.cpp 


代码 7-2 . StackFrame.cpp 


// StackFrame.cpp 
sinclude "stdio.h" 


long add(long a, long b) 


1 
long x = a, y = b; 
return (x + y); 
$ 
int main(int argc, char* argv[]) 
1 
long a = 1, b = 2; 
printf (”%d\n”, add(a, b)); 
return 0; 
} 
提示 
为 了 更 好 地 适用 栈 帧 ， 必 须 先 关闭 Visual C++ 的 优化 选项 (/Od ) 后 再 编译 程序 。 


使 用 OllyDbg 调 试 工 具 打 开 StackFrame.exe 文 件 ， 按 Ctrl+G 快 捷 键 ( Go to 命令 ) 转 到 401000 
地 址 处 ， 如 图 7-1 所 示 。 






















884816096 F$ 55 |PUSH EBP # add() 
88501801 | . 8BEC MOU EBP,ESP 
80581883 || . S3EC 08 SUB ESP,8 
88581096 | . 8B45 08 HOU EAX,DWORD PTR SS:[EBP*8] [EBP+8] => param 'a' 
88501809 | . 8945 F8 HOU DWORD PTR SSi[EBP-8],ERX [EBP-8] => local 'x 
88481686C | . 8B4D 8C HOU ECX,DWORD PTR SS:[EBP*C] [EBP+C] => param 'b* 
88648180F || . 894D FC MOU DWORD PTR SS:[EBP-5],ECX [EBP-4] => local 'y' 
88581812 || . 8B45 F8 MOU EAX,DWORD PTR SS:[EBP-8] 
88481815 || . 0345 FC ADD ERX,DWORD PTR SS:[EBP-4] 
98581818 8BE5 MOU ESP ,EBP 
88501818 || . 5D POP EBP 
68848181B |L. c3 RETN 
69848181C CC INT3 
8848101D CC INT3 
8849161E CC INT3 
88481861F Cc INT3 
80581028 |r$ 55 PUSH EBP # main() 
88501821 | . 8BEC HOU EBP,ESP 
980501023 | . 83EC 08 SUB ESP,8 
88501826 || . C745 FC 0100 MOU DWORD PTR SS:[EBP-5],1 [EBP-#] => local 'a' 
89498192D || . C745 F8 0200 MOU DWORD PTR SS:[EBP-8],2 [EBP-8] => local 'b' 
80501034 | . 8B45 F8 MOU EAX,DWORD PTR SS:[EBP-8] 
004601037 58 PUSH EAX Arg2 = 008800802 
880501038 || . 8B4D FC MOU ECX,DWORD PTR SS:[EBP-^] 
88401038 PUSH ECX Argi 
CALL 9048190 addf 
88501851 ADD ESP ,8 
80581045 |. 58 PUSH ERX 
885901045 | . 68 85834000 | PUSH 0040B384 ASCII "Zdün" 
00406184A | . E8 18000000 |CALL 00501067 printf() 
8858105F | . 83Ch 08 ADD ESP,8 
88501052 | . 33c60 XOR ERX ,ERX 
88501054 | . 8BES MOU ESP,EBP 
805018056 | . 5D POP EBP 
898581057 |L. c3 RETN 


图 7-1 


调试 器 画面 
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提示 
图 7-1 右 侧 的 注释 是 我 添加 的 ， 各 位 的 调试 环境 中 可 能 有 不 同 标注 。 


对 于 尚 不 熟悉 汇编 语言 的 朋友 来 说 ， 图 7-1 中 的 代码 可 能 有 些 复杂 ， 下 面 我 们 会 详细 讲解 。 
通过 与 C 语 言 源 代 码 的 对 照 讲 解 , 分 析 代 码 执行 各 阶段 中 栈 内 数据 的 变化 , 帮助 大 家 更 好 地 理解 。 


7.2.2 ”开始 执行 main() 函 数 & 生 成 栈 帧 

首先 从 StackFrame.cpp 源 程序 的 主 函 数 开始 分 析 ， 代 码 如 下 。 
int main(int argc, char* argv[]) 

1 


函数 main0 是 程序 开始 执行 的 地 方 ， 在 main0 函 数 的 起 始 地 址 (401020 ) 处 ， 按 F2 键 设置 一 
个 断 点 ， 然 后 按 F9 运 行程 序 ， 程 序 运 行 到 main0) 函 数 的 断 点 处 暂停 。 

开始 执行 main0 函 数 时 栈 的 状态 如 图 7-2 所 示 。 从 现在 开始 要 密切 关注 栈 的 变化 , 这 是 我 们 要 
重点 学 习 的 内 容 。 








0012FF 44 






0012FF48 
8812FF 4C 






8012FF58 
B812FF54 
8812FF58 
8612FF5C 
8812FF68 
8612FF654 


8012FF68 60000000 


E72 TES 
当前 ESP 的 值 为 12FF44，EBP 的 值 为 12FF88。 切 记 地 址 401250 保 存在 ESP (12FF44) rh, Ú 
是 main() 函 数 执行 完毕 后 要 返回 的 地 址 。 


提示 
大 家 的 运行 环境 不 同 ， 这 意味 着 看 到 的 地 址 可 能 会 与 图 7-2 中 的 不 一 样 。 








main() 函 数 一 开 始 运行 就 生成 与 其 对 应 的 函数 栈 帧 。 
00401020 PUSH EBP ; * main() 

PUSH 是 一 条 压 栈 指令 ， 上 面 这 条 PUSH 语句 的 含义 是 “把 EBP 值 压 人 栈 "。main0 函 数 中 ， 
EBP 为 栈 帧 指针 ， 用 来 把 EBP 之 前 的 值 备份 到 栈 中 (main0 函 数 执行 完毕 ， 返 回 之 前 ， 该 值 会 再 
次 恢复 )。 

00401021 MOV EBP,ESP 

MOV 是 一 条 数据 传送 命令 ， 上 面 这 条 MOV 语 句 的 命令 是 “把 ESP 值 传送 到 EBP”。 换 言 之 ， 
从 这 条 命令 开始 ，EBP 就 持 有 与 当前 ESP 相 同 的 值 , 并 且 直 到 main0) 函 数 执行 完毕 ，EBP 的 值 始 终 
保持 不 变 。 也 就 是 说 ,我 们 通过 EBP 可 以 安全 访问 到 存储 在 栈 中 的 函数 参数 与 局 部 变量 。 执 行 完 
401020 与 401021 地 址 处 的 两 条 命令 后 ， 函 数 main() 的 栈 帧 就 生成 了 (设置 好 EBP 了 )。 
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”进入 OllyDbg 的 栈 窗口 ， 单 击 鼠 标 右 键 ， 在 弹出 菜单 中 依次 选择 Address-Relative to EBP， 如 
图 7-3 所 示 。 





| Address » Relative to selection 
| Show ASCII dump 
| Show UNICODE dump 





图 7-3 ”选择 Relative to EBP 菜单 


接 下 来 ， 在 OlyDbg 的 栈 窗 口中 确认 EBP 的 位 置 。 程 序 调试 到 现在 的 栈 内 情况 如 图 7-4 所 示 ， 
把 地 址 转换 为 相对 于 EBP 的 偏 移 后 ， 能 更 直观 地 观察 到 栈 内 情况 。 








| 


I EBP 8812FF48 












80812FF58 8012FF88 
EBP«54 0812FF 45 80401258| RETURN to StackFra.8 
EBP+8 B812FF58 888866801 
EBP*C 98812FF 4C 805E1910 
EBP+40 8012FF580 004E1948 
EBP+14 8B12FF54 1E9E7F24 
EBP+18 8042FF58 60808808 
EBP+1C ü812FF5C 60000808 
EBP*28 8812FF68 7FFDF688 
EBP*25 8812FF65 8612FF75 








图 7-4 备份 到 栈 中 的 EBP 初始 值 


如 图 7-4 所 示 , 当前 EBP 值 为 12FF40, 与 ESP 值 一 致 , 12FF40 地 址 处 保存 着 12FF88, 它 是 main() 
函数 开始 执行 时 EBP 持 有 的 初始 值 。 


723 设置 局 部 变量 
下 面 开 始 分 析 源 文件 StackFrame.cpp 中 的 变量 声明 及 赋值 语句 。 


long a = 1, b = 2; 


main0) 函 数 中 ， 上 述 语 句 用 于 在 栈 中 为 局 部 变量 (ab) 分 配 空间 ， 并 赋 初 始 值 。 代 码 7-2main0) 
函数 中 声明 的 变量 ab 是 如 何在 函数 栈 中 生成 的 ,又 是 如 何 管理 的 呢 ? 下 面 一 起 来 揭晓 其 中 的 秘密 。 
00401023 SUB ESP,8 

SUB 是 汇编 语言 中 的 一 条 减法 指令 ， 上 面 这 条 语句 用 来 将 ESP 的 值 减 去 8 个 字 节 。 如 图 7-4 所 
示 ， 执 行 该 条 命令 之 前 ，ESP 的 值 为 12FF40, 减 去 8 个 字 节 后 ， 变 为 12FF38。 那 么 为 什么 要 将 ESP 
减 去 8 个 字 节 了 呢 ? 从 ESP 减 去 8 个 字 节 ， 其 实质 是 为 函数 的 局 部 变量 ( a 与 b， 请 参考 代码 7-2 ) 开辟 
空间 ， 以 便 将 它们 保存 在 栈 中 。 由 于 局 部 变量 a 与 b 都 是 long 型 ( 长 整 型 )， 它 们 分 别 占据 4 个 字 节 
大 小 ， 所 以 需要 在 栈 中 开辟 8 个 字 节 的 空间 来 保存 这 2 个 变量 。 

使 用 SUB 指 令 从 ESP 中 减 去 8 个 字 节 ， 为 2 个 函数 变量 开辟 好 栈 空间 后 ， 在 main0 内 部 ， 无 论 
ESP 的 值 如 何 变化 , 变量 a 与 b 的 栈 空 间 都 不 会 受到 损坏 。 由 于 EBP 的 值 在 main0 函 数 内 部 是 固定 不 
变 的 ， 我 们 就 能 以 它 为 基准 来 访问 函数 的 局 部 变量 了 。 继 续 看 如 下 代码 。 


00401026 MOV DWORD PTR SS:[EBP-4],1 ; [EBP-4] = local 'a' 
0040102D MOV DWORD PTR SS:[EBP-8],2 ; [EBP-8] = local "b? 


对 于 刚刚 接触 汇编 语言 的 朋友 来 说 ， 上 面 两 条 命令 中 的 “DWORD PTR SS:[EBP-4]” 部 分 可 
能 略 显 陌生 。 其 实 没 什么 难 的 ， 只 要 把 它们 看 作 类 似 于 C 语 言 中 的 指针 就 可 以 了 。 
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表 7-1 汇编 语言 与 C 语 言 的 指针 语句 格式 
汇编 语言 Ci 语言 类 型 转换 
DWORD PTR SS:[EBP-4] *(DWORD*)(EBP-4) DWORD (4 个 字 节 ) 
WORD PTR SS:[EBP-4] *(WORD*)(EBP-4) WORD (2 个 字 节 ) 
BYTE PTR SS:[EBP-4] *(BYTE*)(EBP-4) BYTE 


上 面 这 些 指针 命令 很 难 用 简洁 明了 的 语言 描述 出 来 ， 简 单 翻译 一 下 就 是 ， 地 址 EBP-4 处 有 一 
个 4 字 节 大 小 的 内 存 空 间 。 

提示 

DWORD PTR SS:[EBP-4];# óJ P, SS X Stack Segment 的 缩写 ， 表 示 栈 段 。 由 于 

Windows 中 使 用 的 是 段 内 存 模型 ( Segment Memory Model )， 使 用 时 需要 指出 相关 内 存 

属于 哪 一 个 区 段 。 其 实 ，32 位 的 Windows OS P, SS, DS, ES 的 值 辟 为 0， 所 以 采用 

这 种 方式 附 上 区 段 并 没有 什么 意义 。 因 EBP 5 ESP 是 指向 栈 的 寄存 器 ， 所 以 添加 上 了 

SS 寄存 器 。 请 注意 ,，“DWORD PTR” 与 “SS:” 等 字符 串 可 以 通过 设置 OllyDbg 的 相 

应 选项 来 隐藏 。 f 





再 次 分 析 上 面 的 2 条 MOV 命 令 , 它们 的 含义 是 “把 数据 1 与 2 分 别 保存 到 [EBP-4] 与 [EBP-8] 中 ”， 
即 [EBP-4] 代 表 局 部 变量 a，[EBP-8] 代 表 局 部 变量 b。 执 行 完 上 面 两 条 语句 后 ， 函 数 栈 内 的 情况 如 
图 7-5 所 示 。 











ESP 0812FF38 
EBP 8812FF^468 
B012FF38 
9812FF3C 





- 08800981| 





EBP-5 















EBP ==>  B812FF58 8612FF88 
EBP+4 8612FF^& 86581258| RETURN to StackFra.8 
EBP«8 8612FF 48 88880981 
EBP+C 8812FFAC 665E19180 
EBP«18 8812FF58 865E1958 
EBP*15 BB12FF5H 1bE9E7F25 
EBP+18 88612FF58 68008808 
EBP+1C B812FFSC 88888088 





图 7-5 ”变量 a 与 b 


7.2.4 add() 函 数 参数 传递 与 调用 
StackFrame.cpp 源 代码 中 使 用 如 下 语句 调用 add() 函 数 ， 执 行 加 法 运算 并 输出 函数 返回 值 。 


printf("*dNn", add(a, b)); 


00401034 MOV EAX,DWORD PTR SS:[EBP-8] ; [EBP-8] = b 
00401037 PUSH EAX ; Arg2 - 00000002 
00401038 MOV ECX,DWORD PTR SS: [EBP-4] ; [EBP-4] = a 
0040103B PUSH ECX ; Argl - 00000001 
0040103C CALL 00401000 ; add() 


请 看 上 面 5 行 汇编 代码 ， 它 描述 了 调用 add0 函 数 的 整个 过 程 。 地 址 40103C 处 为 “Call 401000" 
命令 , 该 命令 用 于 调用 401000 处 的 函数 , 而 401000 处 的 函数 即 为 add0) 函 数 。 代码 7-2 中 , 函数 add0) 
接收 a、b 这 2 个 长 整 型 参数 ， 所 以 调用 add0 之 前 需要 先 把 2 个 参数 压 人 栈 ， 地 址 401034~40103B 之 
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间 的 代码 即 用 于 此 。 这 一 过 程 中 需要 注意 的 是 ， 参 数 入 栈 的 顺序 与 C 语 言 源码 中 的 参数 顺序 恰好 
相反 (我们 把 这 称 为 函数 参数 的 逆向 存储 )。 换 言 之 ， 变 量 b ( [EBP-8] ) 首先 人 栈 ， 接 着 变量 a 
( [EBP-4] ) 再 入 栈 。 执 行 完 地 址 401034~40103B 之 间 的 代码 后 ， 栈 内 情况 如 图 7-6 所 示 。 








ESP 8812FF38 
EBP 0812FF580 










8812FF38 
EBP-C 8812FF3A 
EBP-8 8812FF38 
EBP-5 8812FF3C 
EBP ==>)  8812FFA48 
EBP*4 8012FF38 
EBP+8 8012FF58 
EBP+C 8812FF 4C 
EBP«18 9812FF58 
EBP*15 B8812FF55 


图 7-6 ”传递 add0 函 数 的 参数 


接 下 来 进入 add0 函 数 (401000 ) 内 部 ， 分 析 整 个 函数 调用 过 程 。 

返回 地 址 

执行 CALL 命 令 进 入 被 调用 的 函数 之 前 ，CPU 会 先 把 函数 的 返回 地 址 压 人 栈 ， 用 作 函 数 执行 
完毕 后 的 返回 地 址 。 从 图 7-1 中 可 知 ， 在 地 址 40103C 处 调用 了 add0 函 数 ， 它 的 下 一 条 命令 的 地 址 
为 401041。 函 数 add(0) 执 行 完 毕 后 ， 程 序 执行 流 应 该 返回 到 401041 地 址 处 ， 该 地 址 即 被 称 为 add0 
函数 的 返回 地 址 。 执 行 完 40103C 地 址 处 的 CALL 命 令 后 进入 函数 ， 栈 内 情况 如 图 7-7 所 示 。 






- 88088982 | 
- 88888881 
8012FF88 
88401258| RETURN to StackFra.& 
80080801 
884E1918 
884E1948 
1E9E7F24 














ESP 8812FF2C 
EBP 0612FF48 

8012FF2C | 
EBP-18 — 8612FF38 
EBP-€ 8812FF34 | 08808802 
EBP-8 0012FF38 | 00000082 
EBP 一 此 8812FF3C | 00080001 
EBP ==>  8012FFA48 |F0012FF88 
EBP+4 G812FFA4 || 00401250| RETURN to StackFra.9 
EBP+8 0012FF48 || 08808801 
EBP+C B012FF4C || 005E1918 
EBP«180 G812FF58 || 894E1948 











图 7-7 ”函数 add0 的 返回 地 址 


7.2.5 “开始 执行 add() 函 数 & 生 成 栈 帧 
StackFrame.cpp 源 代码 中 ， 函 数 add() 的 前 2 行 代码 如 下 : 


long add(Long a, long b) 
{ 


函数 开始 执行 时 ， 栈 中 会 单独 生成 与 其 对 应 的 栈 帧 。 


00401000 PUSH EBP 
00401001 MOV EBP,ESP 


上 面 2 行 代码 与 开始 执行 main0 函 数 时 的 代码 完全 相同 , 先 把 EBP 值 (main(0) 函 数 的 基 址 指针 ) 
保存 到 栈 中 ， 再 把 当前 ESP 存 储 到 EBP 中 ， 这 样 函 数 add0 的 栈 帧 就 生成 了 。 如 此 一 来 ，add0 函 数 
内 部 的 EBP 值 始终 不 变 。 执 行 完 以 上 2 行 代码 后 ， 栈 内 情况 如 图 7-8 所 示 。 


72 ”调试 示例 : stackframe.exe 55 








SP 8812FF28 
|EBP 8812FF28 





[1T2F S 
EBP+4 8812FF2C 0800501051 RETURN to StackFra.8 
EBP+8 8012FF38 80808001 
EBP+C 8812FF35 88808002 
EBP+18 — 8812FF38 60008082 
EBP+14 — 8812FF3C 80888881 
EBP+18 — 8812FF^B 8812FF88 
EBP+1C — 8812FFA5 0050812508 RETURN to StackFra.8 
EBP+28 — 8912FFh8 
EBP+24 — 8812FFhC 


图 7-8 ”函数 add0) 的 栈 帧 
可 以 看 到 ，main0 函 数 使 用 的 EBP 值 (12FF40) 被 备份 到 栈 中 ， 然 后 EBP 的 值 被 设置 为 一 个 
新 值 12FF28。 
7.2.6 设置 add() 函 数 的 局 部 变量 (x, y) 
StackFrame.cpp 源 代码 中 有 如 下 代码 。 
long x = a, y = b; 


上 面 一 行 语句 声明 了 2 个 长 整 型 的 局 部 变量 (x, y )， 并 使 用 2 个 形式 参数 (a, b) 分 别 为 它们 
赋 初 始 值 。 硕 望 大 家 密切 关注 形式 参数 与 局 部 变量 在 函数 内 部 以 何 种 方式 表示 。 
00401003 SUB ESP,8 

上 面 这 条 语句 的 含义 为 ， 在 栈 内 存 中 为 局 部 变量 x、y 开 辟 8 个 字 节 的 空间 。 


00401006 MOV EAX,DWORD PTR SS:[EBP+8] ; [EBP+8] = param a 
00401009 MOV DWORD PTR SS:[EBP-8],EAX ; [EBP-8] = local x 
0040100C MOV ECX,DWORD PTR SS: [EBP«C] ; [EBP+C] = param b 
0040100F MOV DWORD PTR SS: [EBP-4], ECX ; [EBP-4] = local y 


add 函 数 的 栈 帧 生成 之 后 ，EBP 的 值 发 生 了 变化 ，[EBP+8] 与 [EBP+C] 分 别 指向 参数 a 与 b， 如 
图 7-8 所 示 ， 而 [EBP-8] 与 [EBP-4] 则 分 别 指向 add0 孙 数 的 2 个 局 部 变量 x、y。 执 行 完 上 述 语句 后 ， 
栈 内 情况 如 图 7-9 所 示 。 





ESP 8812FF28 
EBP 6812FF28 











8812FF28 
EBP-4 8812FF244 
EBP ==> 9812FF28 
EBP+4 8012FF2C 
EBP+8 8812FF38 
EBP«C 8812FF3h 
EBP«18 8812FF38 
EBP+14 8812FF3C 
EBP+18 8e12FFh8 
EBP+1C 86012FFAA 


图 7-9 ”函数 add() 的 局 部 变量 x、y 





RETURN to StackFra.8 





[98481258| RETURN to StackFra.0 


7.2.7 ADD 运算 
StackFrame.cpp 源 代码 中 ， 下 面 这 条 语句 用 于 返回 2 个 局 部 变量 之 和 。 


return (x + y); 
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00401012 MOV EAX,DWORD PTR SS:[EBP-8] ; [EBP-8] = local x 

上 述 MOV 语 句 中 ， 变 量 x 的 值 被 传送 到 EAX。 
00401015 ADD EAX,DWORD PTR SS:[EBP-4] ; [EBP-4] = local y 

ADD 指 令 为 加 法 指令 ， 上 面 这 条 语句 中 ， 变 量 y ( [EBP-4]=2 ) 与 EAX 原 值 (x) 相 加 ， 且 运 
算 结果 被 存储 在 EAX 中 ， 运 算 完 成 后 EAX 中 的 值 为 3。 

第 14 章 中 我 们 将 详细 学 习 EAX 寄 存 器 , 它 是 一 种 通用 寄存 器 , 在 算术 运算 中 存储 输入 输出 数 
据 ， 为 函数 提供 返回 值 。 如 上 所 示 ， 函 数 即 将 返回 时 ,， 若 向 EAX 输入 某 个 值 ， 该 值 就 会 原封 不 动 
地 返回 。 执 行 运算 的 过 程 中 栈 内 情况 保持 不 变 ， 如 图 7-9 所 示 。 


7.2.8 删除 函数 add() 的 栈 帧 & 函 数 执行 完毕 〈 返 回 ) 
“删除 函数 栈 帧 与 函数 执行 完毕 返回 ”对 应 于 StackFrame.cpp 文 件 中 的 如 下 代码 。 





return (x + y); 
} 
执行 完 加 法 运算 后 ， 要 返回 函数 add0， 在 此 之 前 先 删除 函数 add0 的 栈 帧 。 
00401018 MOV ESP,EBP 
上 面 这 条 命令 把 当前 EBP 的 值 赋 给 ESP, 与 地 址 401001 处 的 MOV EBP, ESP 命 令 相 对 应 。 在 地 


址 401001 处 ， MOV EBP ESP 命 令 把 函数 add0 开 始 执行 时 的 ESP 值 ( 12FF28 ) 放 入 EBP， 孙 数 执 
行 完 毕 时 ， 使 用 401018 处 的 MOV ESPEBP 命 令 再 把 存储 到 EBP 中 的 值 恢复 到 ESP 中 。 





提示 
执行 完 上 面 的 命令 后 ， 地 址 401003 处 的 SUB ESP,8 命令 就 会 失效 ， 即 函数 add() 
的 2 个 局 部 变量 x、y 不 再 有 效 。 








0040101A POP EBP 

上 面 这 条 命令 用 于 恢复 函数 add0 开 始 执行 时 备份 到 栈 中 的 EBP 值 ， 它 与 401000 地 址 处 的 
PUSH EBP 命令 对 应 。EBP 值 恢复 为 12FF40， 它 是 main0 函 数 的 EBP 值 。 到 此 ，add0 函 数 的 栈 帧 
就 被 删除 了 。 

执行 完 上 述 命令 后 ， 栈 内 情形 如 图 7-10 所 示 。 








| EBP 6B812FF4SB 

68612FF2C 
0812FF38 
EBP-C 8812FF35 
EBP-8 8012FF38 
EBP-4 8812FF3C 

















86086682 
86080882 
88080801! 









8812FF88 
88501258| RETURN to StackFra.8 
800800881 
884E1918 
885E1948 


EBP ==>  8012FFh8 
EBP*h 8812FFAA 
EBP+8 ü012FFA8 
EBP«C 8812FFAC 
EBP-18 — 8B12FF58 







图 7-10 ”删除 函数 add0) 的 栈 帧 


可 以 看 到 ，ESP 的 值 为 12FF2C， 该 地 址 的 值 为 401041， 它 是 执行 CALL 401000 命 令 时 CPU 存 
储 到 栈 中 的 返回 地 址 。 
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0040101B RETN 

执行 上 述 RETN 命 令 ， 存 储 在 栈 中 的 返回 地 址 即 被 返回 ， 此 时 栈 内 情形 如 图 7-11 所 示 。 

从 图 7-11 中 可 以 看 到 ,调用 栈 已 经 完全 返回 到 调用 add0 函 数 之 前 的 状态 , 大 家 可 以 比较 一 下 
图 7-11 与 图 7-6。 











E F3 
EBP 8812FF49 
TA. 6606606061; 
EBP-C 8812FF35' |. 08008882 
EBP-8 8812FF38 |. 88888882 
EBP-h 8612FF3C |. 88888881 
EBP ==>  0817FF50 |r8812FF88 
EBP+4 0612FF}44 || 88581258| RETURN to StackFra.8 
EBP+8 8812FF^8 || 00800801 
EBP+C 9012FFhC || 805E1910 
EBP«10 — 08012FF58 || B04E1948 
EBP+34 — 0012FF55 || 1E9E7F24 


图 7-11 ”函数 add0 返 回 


应 用 程序 采用 上 述 方式 管理 栈 ,不论 有 多 少 函数 藤 套 调用 , 栈 都 能 得 到 比较 好 的 维护 ,不 会 
Hist. 但 是 由 于 函数 的 局 部 变量 、 参 数 、 返 回 地 址 等 是 一 次 性 保存 到 栈 中 的 ,利用 字符 串 函 数 的 
漏洞 等 很 容易 引起 栈 缓冲 区 溢出 ， 最 终 导致 程序 或 系统 崩溃 。 
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现在 ,程序 执行 流 已 经 重新 返回 main() 函 数 中 。 
00401041 ADD ESP ,8 

上 面 语句 使 用 ADD 命 令 将 ESP 加 上 8, 为 什么 突然 要 把 ESP 加 上 8 呢 ? 请 看 图 7-11 中 的 栈 窗口 ， 
地 址 12FF30 与 12FF34 处 存储 的 是 传递 给 函数 add() 的 参数 a 与 5b。 函数 add() 执 行 完 毕 后 ， 就 不 再 需 
要 参数 a 与 5 了 ， 所 以 要 把 ESP 加 上 8, 将 它们 从 栈 中 清理 掉 ( 参数 a 与 bp 都 是 长 整 型 , 各 占 4 个 字 节 ， 
合 起 来 共 8 个 字 节 )。 


提示 

















请 记 住 ， 调 用 add() 函 数 之 前 先 使 用 PUSH 命令 把 参数 a、b 压 入 栈 。 





执行 完 上 述 命令 后 ， 栈 内 情况 如 图 7-12 所 示 。 









ESP 8812FF38 
EBP 8812FF48 
TARS 60008882 
EBP 一 此 8812FF3C |. 88808861 
EBP ==>  8812FFA8 |r8812FF88 
EBP+1 8612FFA^ || 8001258 RETURN to StackFra-g 
EBP+8 8912FF48 || 00900891 
EBP+C 8612FFAC || 885E1918 
EBP*«18 — 8812FF58 || 004E1948 
EBP+1a — 8612FF5^ || 1E9E7F24 
EBP«18 — 6012FF58 || 00008808 
EBP«1C — 8012FFSC || 00808808 


É7-12 ”删除 add0 的 2 个 参数 
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被 调 函数 执行 完毕 后 ， 函 数 的 调用 者 (Caller) 负责 清理 存储 在 栈 中 的 参数 ， 这 种 
方式 称 为 cdecl 方式 ; 反之 ， 被 调用 者 (Callee ) 负责 清理 保存 在 栈 中 的 参数， 这 种 方 
式 称 为 stdcall 方式 。 这 些 函 数 调用 规则 统称 为 调用 约定 ( Calling Convention )， 这 在 程 


序 开 发 与 分 析 中 是 一 个 非常 重要 的 概念 ， 第 10 章 将 进一步 讲解 相关 内 容 。 








7.2.10 调用 printf() 函 数 
StackFrame.cpp 源 文件 中 用 于 打印 输出 运算 结果 的 语句 如 下 所 示 。 


printf(“%dxn”, add(a, b)); 
调用 printf0 孙 数 的 汇编 代码 如 下 所 示 。 


00401044 PUSH EAX ; 函数 add( ) 的 返回 值 
00401045 PUSH 0040B384 ; "%dNn” 
0040104A CALL 00401067 ; printf() 


0040104F ADD ESP ,8 

地 址 401044 处 的 EAX 寄存 器 中 存储 着 函数 add0 的 返回 值 ， 它 是 执行 加 法 运算 后 的 结果 值 3。 
地 址 40104A 处 的 CALL 401067 命 令 中 调用 的 是 401067 地 址 处 的 函数 ， 它 是 一 个 C 标 准 库 函 数 
printf(), 所 有 C 标 准 库 函 数 都 由 Visual C++ 编写 而 成 ( 其 中 包含 着 数量 庞大 的 函数 , 在 此 不 详细 介 
绍 )。 由 于 上 面 的 printtO 函 数 有 2 个 参数 ， 大 小 为 8 个 字 节 (32 位 寄存 器 +32 位 常量 =64 位 =8 字 节 )， 
所 以 在 40104F 地 址 处 使 用 ADD 命 令 , 将 ESP 加 上 8 个 字 节 , 把 函数 的 参数 从 栈 中 删除 。 函数 printf() 
执行 完毕 并 通过 ADD 命 令 删 除 参 数 后 ， 栈 内 情形 如 图 7-12 所 示 。 


7.2.41 设置 返回 值 
StackFrame.cpp 中 设置 返回 值 的 语句 如 下 。 


return 0; 

main) KUH ZE 1] ir sik eME CO )。 
00401052 XOR EAX,EAX 

XOR 命 令 用 来 进行 Exclusive OR bit ( 异 或 ) 运算 ， 其 特点 为 “2 个 相同 的 值 进行 XOR 运 算 ， 
结果 为 0"。XOR 命 令 比 MOV EAX,0 命 令 执行 速度 快 ， 常 用 于 寄存 器 的 初始 化 操作 。 

提示 

利用 相同 的 值 连续 执行 2 次 KOR 运算 即 变 为 原 值 , 这 个 特征 被 大 量 应 用 于 编码 与 
解码 。 后 面 的 代码 分 析 中 我 们 会 经 常 看 到 XOR 命令 。 





7.2.42 ”删除 栈 帧 &main() 函 数 终 止 
本 节 内 容 对 应 StackFrame.cpp 中 的 如 下 代码 。 


return 0; 
} 
最 终 主 函 数 终止 执行 ， 同 add0 函 数 一 样 ， 其 返回 前 要 先 从 栈 中 删除 与 其 对 应 的 栈 帧 。 
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00401054 MOV ESP, EBP 
00401056 POP EBP 


执行 完 上 面 2 条 命令 后 , mainQ PK ZB pe BIS, HHE Ea, btB PAAA. WTE 
此 ， 栈 内 情形 如 图 7-13 所 示 。 











ESP 8812FF^4A 
EBP 8812FF88 ` 









3 YPZ 60481250 
EBP-48 — 8812FF48 | 80808881 
EBP-3C — 8012FFA4C 
EBP-38 . 8812FF58 
EBP-34 — 0012FF5A 
EBP-30 8812FF58 
EBP-25 — 8812FF5t 
EBP-28  0812FF68 
EBP-2h  8812FF65 
EBP-28 — 09012FFó8 


图 7-13 ”删除 main0) 函 数 的 栈 帧 
图 7-13 与 main0 函 数 开始 执行 时 栈 内 情形 ( 请 参考 图 7-2 ) 是 完全 一 样 的 。 


00401057 RETN 
执行 完 上 面 命令 后 ， 主 函数 执行 完毕 并 返回 ， 程 序 执行 流 跳 转 到 返回 地 址 处 (401250), 3X 
地 址 指向 Visual C++ 的 启动 函数 区 域 。 随 后 执行 进程 终止 代码 。 请 各 位 自行 查看 该 过 程 。 
请 大 家 阅读 上 面 内 容 的 同时 动手 调试 , 认真 观察 栈 的 行为 动作 , 相信 各 位 的 调试 水 平 会 得 到 
很 大 提高 。 


7.3 设置 OllyDbg 选项 


OllyDbg 提 供 了 丰富 多 样 的 选项 ， 是 个 名 副 其 实 的 动态 调试 工具 。 下 面 看 一 下 其 中 显示 代码 
窗口 反 汇 编 代 码 的 选项 。 








0800008000 
808808880 
7FFDF 8868 
8612FF75 
88806888 













7.3.4 Disasm 选项 
打开 OllyDbg 的 Debugging options 对 话 框 〈 快捷 键 Alt+O )， 如 图 7-14 所 示 。 














x 


| 
D Events | Exceptions | Trace | SFX | Stings | Addresses | 
Commands | CPU | Registers | Stack | Analysis1 | Analysis 2 | Analysis 3 | 







C HLA (Randall Hyde] 
[^ Disassemble in lowercase 
[^ Tab between ics and arguments 









[ Show local module name 
[Z Show symbolic addresses 









图 7-14  OllyDbgfi)Debugging options 对 话 框 -Disasm 选 项 卡 
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在 Debugging options 对 话 框 中 选择 Disasm 选 项 卡 后 ， 分 别 点 击 “Show default segments" Ej 
“Always show size of memory operands” 左 侧 的 复 选 框 ， 取 消 选择 。 观 察 代码 窗口 可 以 发 现 ， 原 
来 代码 中 显示 的 默认 段 与 内 存 大 小 都 不 再 显示 了 ， 如 图 7-15 所 示 。 


80581808|r$ 55 PUSH EBP # add() 
0885018081 | . SBEC HOU EBP ,ESP 

0080501003 | - 83EC 608 SUB ESP ,8 

0050410086 | . 8B45 08 MOU EñX,[EBP+8] [EBP+8] => param 'a' 
004581889|| . 8945 F8 MOU [EBP-8],EAX [EBP-8] => local 'x' 
8850188C|| . 8B4D GC MOU ECX,[EBP*6] [EBP+C] => param 'b' 
8050188F|| . 894D FC HOU [EBP-A],ECX [EBP-4] => local 'y' 
90501012]| . 8B45 F8 HOU EAX,[EBP-8] 

80501015|| . 0345 FC ADD ERX,[EBP-A4] 

900401018|| . 8BE5 HOU ESP ,EBP 

80s81840 |. 5D POP EBP 

B8481818|L. c3 RETN 

80401861C CC INT3 

09048181D CC INT3 

B850181E ce INT3 | 


86048181F CC INT3 












88481621 || 











988481823 83EC 68 SUB ESP,8 

800481926 C745 FC 081806 HOU DWORD PTR [EBP-4],1 [EBP-4] => local 'a' 
8840182D C745 F8 0200 MOU DWORD PTR [EBP-8],2 [EBP-8] => local 'b* 
80501835 8B45 F8 HOU ERX,[EBP-8] 

88481837 58 PUSH ERX ñrg2 = 800088602 
88461838 8B4D FC MOU ECX,[EBP-h] 

86408183B 51 PUSH ECX Argi = 88888881 
60406183C E8 BFFFFFFF |CALL 80581888 add() 

80581641 83C^ 08 ADD ESP,8 

885481054 58 PUSH ERX 

880481845 68 84835080 | PUSH 540B38h ASCII "ZdWn'" 
885018460 E8 18008880 |CALL 9005801067 printf() 

90840184F 83C4 08 ADD ESP,8 

88501852 33C8 XOR ERX,ERXN 

90481855 8BE5 MOU ESP,EBP 

884801856 5D POP EBP 

805818057 c3 RETH 


图 7-15 ”选项 变更 后 的 代码 窗口 


提示 

如 图 7-15 所 示 ，401026 与 40102D 地 址 处 的 命令 中 仍然 保留 着 “DWORD PTR”. 
车 将 其 删除 ， 解 析 后 面 常 量 1、2 的 尺寸 时 就 会 产生 歧义 ， 无 法 确认 它们 是 BYTE, 还 
Æ WORD, DWORD., 而 地 址 401034 处 的 命令 中 ， 原 来 显示 的 “DWORD PTR” 字 符 
串 被 省 略 了 ， 这 是 因为 参与 运算 的 寄存 器 EAX 大 小 明确 ， 为 4 个 字 节 。 


7.3.2 Analysis 选项 


再 介绍 另 一 个 比较 有 用 的 选项 。 

选择 Analysis 1 选项 卡 ， 点 击 “SHOW ARGs and LOCALs in procedures” 左 侧 的 复 选 框 ， 启 
用 该 选项 ， 如 图 7-16 所 示 。 

如 图 7-17 所 示 ， 原 来 以 EBP 表示 的 函数 局 部 变量 、 参 数 分 别 表示 成 了 LOCAL.1、ARG.1 的 形 
式 。 该 选项 为 代码 提供 了 非常 好 的 可 读 性 ， 有 助 于 调试 代码 。 

启用 该 选项 后 ，OllyDbg 会 直接 分 析 函 数 的 栈 帧 ， 然 后 把 局 部 变量 的 个 数 、 人 参数 的 个 数 等 显 
示 在 代码 窗口 。 启 用 该 选项 后 ， 虽 然 偶 尔 会 出 现 显示 错误 ,但 它 的 显示 非常 直观 ,， 故 常常 能 为 代 
码 调试 提供 帮助 。 现 在 我 们 连 它 的 运行 原理 也 学 习 了 ， 真 可 谓 锦上添花 。 
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Strings l Niki: | 
[Analysis T | Analysis 2 | Analysis 3 | 


—— eile 


Security | Debug | Events | s 
Commands | Disasm | CPU | Registers | Stack 


Procedure recognition: 
C Stict 
(* Heuristical 
C Fuzzy [not recommended for tracing) 





E F oe ua and switches 
[^ Decode cascaded IFs as switches 

IV. Decode tricky code sequences 

[V Gray commands that fill gaps between procedures 

[V Keep analysis between sessions 








É87-16 OllyDbgR Debugging options 对 话 框 Analysis 1 选项 卡 






08501889 ° 55 |PUSH EBP 8 add() 
88581801 8BEC MOV EBP ,ESP 

88501803 83EC 88 SUB ESP,8 

88501086 8B45 08 HOU ERX,[fiRG.1] [EBP*8] => param 'a* 
80401089 8945 F8 MOU [LOCRL.2],ERX [EBP-8] => local 'x' 
88486108C 8B4D QC MOU ECX,[RRG.2] [EBP+C] => param 'b' 
89481886F 894D FC MOU [LOCAL.1],ECX [EBP-4] => local 'y' 
88501812 8845 F8 HOU ERX,[LOCRL .2] 

69501815 0345 FC ADD EAX,[LOCAL.1] 

08401018 8BE5 MOU ESP,EBP 

9084501016 5D POP EBP 

98501818 c3 RETN 

88501816 CC INT3 

80501610 CC INT3 

86849101E CC INT3 


88401801F 
880581828 
884816821 






~ 8BEC 











INT3 


MOU EBP,ESP 

















88501823 83EC 88 SUB ESP,8 
89401026 £755 FC 0100 MOU [LOECARL.1], 1 [EBP-4] => local 'a' 
09481802D C745 F8 0200 HOU [LOGAL.2],2 [EBP-8] => local 'b' 
88401834 8B45 F8 HOU ERX,[LOCRL.2] 
89581837 58 |PUSH ERX frg2 = 88301938 
89501638 8B4D FC HOU ECX,[LOCAL -1] 
88581838 51 PUSH ECX Argi = 88988081 
8849103C E8 BFFFFFFF |CALL 88501080 add() 
88501651 83C4 88 ADD ESP,8 
88501945 58 PUSH ERX 
88591845 68 85834808 | PUSH 88h8B38h ASCII "din" 
89481050 E8 18008008 |CALL 90501067 printf() 
68401604F 83C4 08 ADD ESP,8 
88581052 33C8 XOR ERX,ERX 
88501055 8BE5 HOU ESP,EBP 
88501056 5p POP EBP 
88401857 c3 RETN 
图 7-17 局 部 变量 与 参数 的 表示 形式 
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我 们 在 本 章 学 习 了 有 关 栈 帧 的 内 容 ， 一 边 阅读 讲解 内 容 ， 一 边 又 要 动手 调试 ， 各 位 真是 辛 
苦 了 。 

简 言 之 ， 栈 帧 技术 使 用 EBP 寄存 器 ( 而 非 ESP 寄 存 器 ) 管理 局 部 变量 、 参 数 、 返 回 地 址 等 。 
我 也 是 在 学 习 栈 帧 的 过 程 中 开始 对 代码 调试 有 了 自信 。 因 为 ， 理 解 函数 参数 、 局 部 变量 、 返回 值 
等 处 理 原理 的 过 程 中 ， 调 试 水 平 也 得 到 了 明显 提高 。 也 许 大 家 也 会 有 同样 感受 


第 8 章  abex crackme #2 


本 章 分 析 一 个 非常 简单 的 crackme 文 件 ， 帮 助 大 家 继续 熟悉 调试 器 与 反 汇 编 代 码 。 先 简单 介 
绍 Visual Basic 的 文件 结构 及 分 析 方 法 。 

本 章 分 析 第 二 个 crackme 文 件 abex” crackme #2， 它 使 用 Visual Basic 语 言 编 写 ， 你 会 感受 到 与 
使 用 Visual C++ 或 Assembly 编 写 的 文件 相 比 具有 不 同 的 形态 。 


提示 





讲解 中 出 现 的 内 存 ( 栈 ) 地 址 随 用 户 PC 环境 的 不 同 而 变化 。 和 希望 各 位 调试 时 注意 
这 一 点 。 你 现在 感到 调试 很 难 是 正常 的 ， 投 入 大 量 时 间 和 精力 后 ， 就 会 逐渐 熟悉 起 来 。 





8.1 运行 abex' crackme #2 


运行 之 后 才能 了 解 它 是 什么 样 的 程序 ， 如 图 8-1 所 示 。 





图 8-1 运行 画面 


这 个 程序 具有 上 典型 的 crackme 形 态 ， 要 求 我 们 找 出 程序 的 序列 号 。 从 单独 输入 Name 来 看 ， 生 
成 Serial 时 才 会 用 到 Name 字 符 串 (依据 经 验 推 测 )。 输 入 合适 的 Name 与 Serial， 按 Check 按 钮 ， 如 
图 8-2 所 示 。 


Wrong sel 


Nope, this serial is wrong! 


| 

















图 8-2 “Wrong serial!" Pj EE 


弹出 “Wrong serial!” 消 息 框 ， 即 使 多 次 尝试 其 他 值 也 依然 是 这 个 结果 。 下 面 通过 调试 仔细 
分 析 其 代码 。 


83 ”开始 调试 63 


M LU E ra E = = 
若 上 述 示例 文件 ( abexcm2-voiees.exex ) 无 法 运行 ,请 先 把 附带 的 MSVBVM6O.dll 
文件 复制 到 示例 文件 相同 路 径 下 再 操作 。 





8.2 Visual Basic 文件 的 特征 


要 调试 的 abex’s crackme 42 X f/- H1 Visual Basic 编 写 而 成 。 调 试 前 最 好 先 了 解 Visual Basic 文 件 
的 特征 。 


8.2.1 VB 专用 引擎 


VB 文件 使 用 名 为 MSVBVM60.dll ( Microsoft Visual Basic Virtual Machine 6.0 ) 的 VB 专用 引擎 
(也 称 为 The Thunder Runtime Engine )。 

举 个 使 用 VB 引擎 的 例子 ， 显 示 消 息 框 时 ，VB 代 码 中 要 调用 MsgBox0 函 数 。 其 实 ，VB 编 辑 
器 真正 调用 的 是 MSVBVM60.dll 里 的 rtcMsgBox0 郴 数 ， 在 该 函数 内 部 通过 调用 user32.dll 里 的 
MessageBoxW() 函数 ( Win32 API ) 来 工作 (也 可 以 在 VB 代码 中 直接 调用 user32.dll 里 的 
MessageBoxW() )。 


8.2.2 ”本 地 代码 和 伪 代码 


根据 使 用 的 编译 选项 的 不 同 ，VB 文 件 可 以 编译 为 本 地 代码 (N code) 与 伪 代 码 (P code )。 
本 地 代码 一 般 使 用 易于 调试 器 解析 的 IA-32 指 令 ; 而 伪 代码 是 一 种 解释 器 (Interpreter) 语言 ， 它 
使 用 由 VB 引擎 实现 虚拟 机 并 可 自 解析 的 指令 ( 字 节 码 )。 因 此 ， 若 想 准 确 解析 VB 的 伪 代 码 ， 就 
需要 分 析 VB 引 警 并 实现 模拟 器 。 

提示 二 
伪 代 码 具 有 与 Java (Java 虚拟 机 )、Python (Python 专用 引擎 ) 类 似 的 形态 结构 。 
使 用 伪 代 码 的 好 处 是 非常 方便 代码 移植 ( 编写 /发 布 针 对 特定 平台 的 引擎 ， 用 户 代 码 借 
助 它 几 乎 可 以 不 加 任何 修改 地 在 指定 平台 上 运行 )。 


8.23 ”事件 处 理 程序 


VB 主要 用 来 编写 GUI 程 序 ， IDE 用 户 界面 本 身 也 最 适合 于 GUI 编 程 。 由 于 VB 程序 采用 Windows 
操作 系统 的 事件 驱动 方式 工作 ， 所 以 在 main0 或 WinMain0 中 并 不 存在 用 户 代码 (希望 调试 的 代 
码 )， 用 户 代码 存在 于 各 个 事件 处 理 程序 (event handler) 之 中 。 

就 上 述 abex’ crackme #2 而 言 ， 用 户 代码 在 点 击 Check 按 钮 时 触发 的 事件 处 理 程序 内 。 

8.2.4 未 文档 化 的 结构 体 


VB 中 使 用 的 各 种 信息 (Dialog, Control, Form, Module, Function#£ ) 以 结构 体形 式 保 存在 
文件 内 部 。 由 于 微软 未 正式 公开 这 种 结构 体 信 息 ， 所 以 调试 VB 文件 会 难 一 些 。 


8.3 ”开始 调试 
运行 OllyDbg， 查 看 abex’ crackme 机 文件 的 反 汇 编 代码 ， 如 图 8-3 所 示 。 
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00401202 FF25 60104000| JMP DWORD PTR DS:[401060] HSUBUH60., _vbaVarDup 
60401202 FF25 34104000| JMP DWORD PTR DS:[401034] MSUBUMGG. rtoMsgBon 
06040120E FF25 831646888 | JMP DWORD PTR DS:[40100881 MSUBUM6G. _vbaVarMove 

FF2S 78104000| JMP DWORD PTR DS: L481878] HSUBUH689. FecUarÜser ronAnsi 
FF2S 10104000| JMP DWORD PTR DS:[4010101 
FF25 69104000| JMP DWORD PTR DS:[4010681 


sg JMP DWORD š 
FF2S 60104000| JMP DWORD PTR DS:[40810601 
FF2S elesge HE "ya La DS:L4810881 


GG481214 
8848121n 


MSUBUMGO. | vbaEnd 

MSUBUHMEG.EUENT. SINK Query Interface 
MSUBUMÉGO. EVENT- -SINK Àd dRef 
HSUBUH60. EVENT_SINK_Re lease 
MSUBUMGG. JhunBTHain 






fws se o s ss... 
BILL Gg Gg I 


EB FOFFFFFF ` 
Gana 














au : [EAX], AL 
000A DS: [EAX], AL 
aoaoa :LERX1,RL 
3000 : [EAX], AL 
poga ADD BYTE PTR DS:tERX1,RL 
4n INC ERX 

图 8-3 EP 


执行 程序 后 ， 在 EP 代 码 中 首先 要 做 的 是 调用 VB 引擎 的 主 函 数 (ThunRTMain0 )。 


00401232 FF25 A0104000 JMP DWORD PTR DS:[4010A0] ; MSVBVM60 ,ThunRTMain 
00401238 68 141E4000 PUSH 401E14 ; = EP 
0040123D E8 FOFFFFFF CALL 00401232 ; JMP.&MSVBVM60.#100 


EP 的 地 址 为 401238。401238 地 址 处 的 PUSH 401E14 命 令 用 来 把 RT_ MainStruct 结 构 体 的 地 址 
(401E14 ) 压 人 栈 。 然 后 40123D 地 址 处 的 CALL 00401232 命 令 调用 401232 地 址 处 的 JMP DWORD 
PTR DS:[4010A0] 指 令 。 该 JMP 指 令 会 跳 转 至 VB 引擎 的 主 函 数 ThunRTMain0 (前面 压 人 栈 的 
401E14 的 值 作为 ThunRTMain() 的 参数 )。 

以 上 3 行 代码 是 VB 文件 的 全 部 启动 代码 。 虽 然 非常 简单 ， 但 有 3 个 方面 需要 各 位 留意 。 


8.3.1 间接 调用 


40123D 地 址 处 的 CALL 401232 命 令 用 于 调用 ThunRTMain0 函 数 ， 这 里 使 用 了 较为 特别 的 技 
法 。 不 是 直接 转 到 MSVBVM60.dll 里 的 ThunRTMain() 函 数 ， 而 是 通过 中 间 401232 地 址 处 的 JMP 命 
令 跳 转 。 
00401232 FF25 A0104090 JMP DWORD PTR DS:[4010A90] 

这 就 是 VC++、VB 编 译 器 中 常用 的 间接 调用 法 (Indirect Call )。 

提示 一 
4010A0 地 址 是 IAT( Import Address Table, 导入 地 址 表 ) 区 域 , 包含 着 MSVBVM60. 
ThunRTMain() 函 数 的 实际 地 址 。 第 13 章 将 详细 讲解 IAT. 


8.3.2 RT MainStructZ& 44 p 


要 注意 的 是 ThunRTMain() 函 数 的 参数 RT_ MainStruct 结 构 体 。 这 里 ，RT_MainStruct 结 构 体 存 
在 于 401E14 地 址 处 ， 如 图 8-4 所 示 。 

















GO4D1E14[l 


Bo4niE74| 97 B -98 DƏ GA Bü on OQ OB OB DO DO OO GO mm 


图 8-4 RT MainStruct 


微软 未 公开 RT_MainStruct， 但 是 有 国外 的 逆向 分 析 高 手 已 经 完成 了 对 RT_MainStruct 结 构 体 
的 分 析 ， 并 公布 在 网 络 上 。 


8.44 分 析 crackme 65 





RT_MainStruct 结 构 体 的 成 员 是 其 他 结构 体 的 地 址 。 也 就 是 说 ，VB 引 擎 通过 参数 传递 过 来 的 
RT_MainStruct 结 构 体 获取 程序 运行 需要 的 所 有 信息 。 
此 处 省 略 对 RT_MainStruct 结 构 体 的 详细 说 明 。 


8.3.3 ThunRTMain() 函 数 


前 面 提 到 了 ThunRTMain(0 函 数 ， 下 面 了 解 一 下 。 

图 8-5 显 示 了 ThunRTMain0 代 码 的 开始 部 分 ， 可 以 看 到 内 存 地 址 完全 不 同 了 。 这 是 
MSVBVM60.dll 模 块 的 地 址 区 域 。 换 言 之 , 我 们 分 析 的 不 是 程序 代码 ,而 是 VB 引擎 代码 ( 现在 还 
不 需要 分 析 如 此 庞大 的 代码 )。 对 VB 文件 的 讲解 到 此 为 止 ， 继 续 回 到 abex’ crackme #2。 


4 MSUBUMEG. ThunRTHain 









en EE PUSH a RESP 
£8 009273873 BUSH Hi fieueuneo. TO ROLE 
64:H1 0089800000 HOO | EAX, DWORD PTR FS:[01 
5a PUSH EAX 
64:8925 68086664 MOU DWORD PTR FS:[0], ESP 
51 PUSH ECX 

PUSH 
83EC 4C SUB ESP, 4C 

PUSH EBX 
56 PUSH ESI 
57 PESH EDI ntdl l. 7C940208 
8965 ES i3. PTR SS:LEBP-19], ESP 
8875 a8 Nay ESI, DWORD PTR SS: CEBP+S] abexcm2-. <Modu leEntryPoint> 
8935 non DWORD EIR DS: NEL D ESI 
8365 FC 00 AND DWORD PTI BIER LFEBP-41,5 
8D45 AĞ LER EAX, DWORD PTR SS:LEBP-681 
5a PUSH EAX 
FF15 00103773 CALL DWORD PTR DS: [<&KERNELS2,G kernel32.GetStartupInfoR 
BFBr45 DØ MOUZX EAX, WORD PTR S3:LEBP-301 
A3 SCES4773 MOY DWORD PTR DS:[7347E86C], EA 
EE DBEr4r73 PSN DR PTR DS: [7347E7D8] abexcom2-. 00400000 
BE 70E44773 MOU ESI,HMSUBUMÉB. 7347E470 
BBE nog ECX, ESI 








图 8-5 _ ThunRTMain(0 代 码 开 始 


8.4 分 析 crackme 


要 “ 打 补 丁 ”的 代码 到 底 在 哪 呢 ? 应 该 先 找到 解决 问题 的 线索 。 以 各 位 现在 的 水 平 ， 分 析 
RT_MainStruct 结 构 体 不 是 件 容易 的 事 ， 要 想 一 个 更 简单 的 方法 才 行 。 这 种 思路 就 是 利用 图 8-2 中 
的 错误 消息 框 与 字符 串 。 


8.4.1 检索 字符 串 
使 用 OllyDbg 中 的 字符 串 检索 功能 ( 选择 All referenced text strings ), 显示 出 图 8-6 所 示 的 窗口 。 


[3 Text strings referenced in abexcm2-:.text 


MOY DWORD PTR SS:LEBP-CC «abe UNICO About” 
9 UNICODE "abes' 2nd crackm 
a UNICODE coded ,9n 19th Serender 1999” 
UNICODE "Erro 
UNICODE " Piese enter at least 4 chars as name?” 
UNICODE nat lations?” 
s UNICODE "Yep, this k i 





图 8-6 All referenced text strings 


可 以 在 上 面 窗口 中 看 到 消息 框 显 示 的 字符 串 。 双击 相应 字符 串 , 转 到 其 地 址 处 , 如 图 8-7 所 示 。 
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SS: EBP-E4 1$ abex 
Hou BR SS: — HSUBUMÉG. rtchidCh arUar 


CALE EDI 


LER EDX, 
LER ECX I 
UNICODE "Nope, this serial is wrongt” 
ar 


BRE 
MOY — PIR 和 TEES" HSUBUMÉOG. rtchidCh aru. 


LER EDK. ;OWORD PTR SS:TEBP-CC] 
LER ERN, DWORD PTR SS EEBP- BCJ 





CALL DWORD PTR DS:[<&MSUBUM6O. 4 HSUBUH68., rtcHsəBox 


图 8-7 403458 地 址 


消息 框 的 标题 (“Wrong serial!”)、 内 容 ( "Nope, this serial is wrong!”)， 还 有 实际 调用 消息 
框 函数 的 代码 ( 4034A6 ) 都 显示 出 来 了 。 

从 编程 的 观点 来 看 ,使 用 某 种 算法 生成 序列 号 , 通过 比较 用 户 输入 的 序列 号 与 字符 串 ， 代码 
分 为 TRUE (序列 号 相同 ) FALSE (序列 号 不 同 ) 两 大 部 分 。 换 言 之 ， 上 述 代码 的 前 后 存在 字 
符 串 比较 代码 , 且 序 列 号 正确 时 程序 代码 会 调用 消息 框 输出 成 功 消息 (序列 号 正确 时 调用 消息 框 ， 
这 一 点 可 由 图 8-6 中 的 字符 串 类 比 推测 出 来 )。 

在 图 8-7 中 略微 向 上 拖 动 滚动 条 ， 果 然 〈 如 前 预测 ) 看 到 了 包含 条 件 转移 语句 的 代码 (参考 
图 8-8 )。 







00403321 





HSUBUH68.__ubaUarTstEq 





vbaUarDup 






6 HSUBUH68. __. 
CJ 


MSUBUFHGO. rtcHidCharUar 
HSUBUH68. rtcMidCharUar 


cj UNICODE "Congratulations" 
<&HSUBUH60.,___ubaUarDup> 


Cj 
a c UNICODE "Yep, this key is right*” 





HSUBUMÉB. rtcMsgBox 





CALE DUDRD PTR DS: [C&MSVBUMEG. s 


图 8-8 条 件 转移 指令 


调用 403329 地 址 的 __vbavVarTstEq0 函 数 ， 比 较 (TEST 命令 ) 返回 值 (AX) 后 ， 由 403332 地 
址 的 条 件 转移 指令 〈 下 指令 ) 决定 执行 “ 真 ”代码 还 是 “ 假 ”代码 。 
上 述 代码 使 用 的 汇编 指令 说 明 
e TEST: 地 辑 比较 (Logical Compare ) 
与 bit-wise logical ‘AND’ 一 样 ( 仅 改 变 EFLAGS 寄存 器 而 不 改变 操作 数 的 值 ) 
若 2 个 操作 数 中 一 个 为 0， 则 AND 运算 结果 被 置 为 0 一 ZF=1。 
e JE: 条 件 转移 指令 (Jump if equal ) 
Æ ZF=1， 则 跳 转 。 | 


8.4.2 ”查找 字符 串 地 址 
图 8-8 中 403329 地 址 处 的 __vbavVarTstEq0) 函 数 为 字符 串 比 较 函 数 ， 其 上 方 的 2 个 PUSH 指令 为 


.8.4 分 析 crackme 67 


比较 函数 的 参数 ， 即 比较 的 字符 串 〈 联想 到 C 语 言 的 stremp0 函 数 而 推测 出 的 )。 
调试 至 403329 地 址 处 。 


00403321 LEA EDX,DWORD PTR SS:[EBP-44] 
00403324 LEA EAX,DWORD PTR SS:[EBP-34] 


00403327 PUSH EDX ; 0012FBDC 
00403328 PUSH EAX ; 0012FBEC 
00403329 CALL DWORD PTR DS:[&MSVBVM60. _ ; MSVBVM60. — vbaVarTstEq 


00403321 地 址 处 的 SS:[EBP-44] 表 达 的 是 什么 呢 ? “IA-32 基 本 说 明 ” 与 “ 栈 帧 ”中 讲 过 ，S 
S 是 栈 段 ，EBP 是 基 址 指针 寄存 器 。 换 言 之 ，SS:[EBP-44] 指 的 是 栈 内 地 址 ， 它 恰好 又 是 函数 中 声 
明 的 局 部 对 象 的 地 址 ( 局 部 对 象 存 储 在 栈 区 )。 在 此 状态 下 查看 栈 ， 如 图 8-9 所 示 ( 栈 地 址 会 随 调 


试 环境 的 不 同 而 改变 )。 
pm OG ISFBDC 


图 8-9 +È 
查看 存储 在 栈 中 的 内 存 地 址 ( 12FBDC、12FBEC )， 如 图 8-10 所 示 。 






8-10 RAH 


OllyDbg 中 有 一 个 更 方便 的 查找 命令 , 使 用 时 不 需要 和 输入 地 址 。 在 代码 窗口 或 栈 窗 
口中 使 用 鼠标 选中 指定 地 址 ， 使 用 右键 菜单 中 的 Follow in dump 或 Follow in dump 
Memory address 命令 即 可 。 


与 C++ 的 string 类 一 样 ，VB 字 符 串 使 用 可 变 长 度 的 字符 串 类 型 。 所 以 就 像 在 图 8-10 看 到 的 一 
样 ， 直 接 显示 的 不 是 字符 串 ， 而 是 16 字 节 大 小 的 数据 ( 这 就 是 VB 中 使 用 的 字符 串 对 和 象 )。 

不 同 的 值 被 这 样 统一 起 来 , 仅 方 框 显示 的 值 是 不 同 的 , 看 上 去 就 像 内 存 地 址 一 样 ( 可 变 长 度 
字符 串 类 型 内 部 持 有 实际 动态 分 配 的 字符 串 缓存 地 址 )。 

在 OllyDbg 的 Dump 窗 口中 选择 右键 菜单 Long -Address with ASCII dump 命 令 。 该 命令 可 以 把 
Dump 窗 口 的 查看 形式 变 得 与 栈 窗 口 一 样 ， 特 别 是 针对 字符 串 地 址 时 可 以 将 相应 字符 串 显 示 出 来 
( 若 想 返回 原 视 图 ， 使 用 鼠标 右键 菜单 的 Hex-Hex/ASCII ( 16 个 字 节 ) 命令 即 可 )。 

如 图 8-11 所 示 ，EDX ( 0012FBDC ) 最 终 是 实际 的 serial 值 ，EAX ( 0012FBEC ) 是 用 户 输入 





C| aaaoaoasS! B... 


:| UNICODE "B&C9DRC9" 





“| UNICODE "abod1234” 
=$. 





图 8-12 ”Serial 字 符 串 
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一 > 
图 8-10~ 图 8-12 中 的 Unicode 字符 囊 地 址 是 不 一 样 的 ,原因 在 于 它们 不 是 在 同一 调 
试 过 程 中 截图 的 ， 而 是 经 过 多 次 调试 重启 截取 的 ， 所 以 字符 串 的 地 址 发 生 了 变化 。VB 
默认 使 用 基于 Unicode 的 可 变 长 度 字 符 串 对 象 。 可 变 长 度 字 符 串 对 象 会 根据 需要 在 内 
部 随时 动态 分 配 / 释 放 内 存 。 因 此 ， 每 次 运行 时 字符 串 的 地 址 会 有 所 不 同 。 此 外 ， 调 试 
时 无 法 一 眼看 全 实际 字符 串 ， 这 也 是 调试 的 困难 之 一 。 





运行 Crackme 程 序 ， 输入 Name=“ReverseCore”、Serial=“B6C9DAC9”, 会 弹出 成 功 的 消息 
框 ， 如 图 8-13 所 示 。 














图 8-13 “Congratulations!” 消 息 框 


消息 框 表明 找到 了 正确 的 Serial 并 破解 成 功 。 但 Name 与 Serial 之 间 是 什么 关系 呢 ?” 为 了 测试 ， 
向 Name 中 输入 另 一 个 值 ，Serial 保 持 不 变 ， 程序 显示 错误 信息 。 这 证 明了 最 初 的 推测 ， 即 程序 采 
用 了 “以 Name 字 符 串 为 基础 随时 生成 Serial” 的 算法 。 


8.4.3 生成 Serial 的 算法 


本 节 讲 述 生成 Serial 字 符 串 的 算法 。 

查找 函数 开始 部 分 

很 显然 , 图 8-8 中 的 条 件 转移 代码 属于 某 个 函数 。 该 函数 可 能 就 是 Check 按 钮 的 事件 处 理 程 序 。 
原因 在 于 选择 Check 按 钮 后 ， 该 函数 会 被 调用 执行 ， 且 含有 用 户 代 码 来 弹出 成 功 /失败 消息 框 。 

最 好 倒 着 向 上 一 点 点 地 查找 函数 开始 部 分 。 向 上 拖 动 滚动 条 即 可 见 到 图 8-14 所 示 的 代码 。 仔 
细 看 一 下 00402ED0 地 址 处 的 命令 。 


00402ED0 PUSH EBP ; = [Check] button event handler 
00402ED1 MOV EBP,ESP : 


上 述 代 码 是 典型 的 栈 帧 代码 , 开始 执行 函数 就 会 形成 栈 帧 。 由 此 得 知 该 位 置 就 是 函数 开始 部 
分 ， 即 Check 按 钮 的 事件 处 理 程序 。 
汇编 指令 
VB 文件 的 函数 之 间 存 在 着 NOP 指令 (图 8-14 的 402ECC~402ECF 地 址 区 )。 
NOP: No Operation， 不 执行 任何 动作 的 指令 (只 消耗 CPU 时 钟 )。 





为 了 准确 分 析 代 码 ， 在 402ED0 处 设置 断 点 后 开始 调试 。 
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G8482ECC 9a HOP 
B0462ECD 980 NOP 
S0482ECE sa NOP 
ZECI 90 HOP 
> PUSH EBP => [Check] button event handler 

eo4d2EDI| . SBEC MOU EBP,ESP 
&ea4a2ED3| . 83EC OC SUB ESP, 
8O402EDé| . 68 06114009 |PUSH CJfIP.SHSUBUIGO. —vbaExceptHandler>| SE handler installation 

4g. . 64:R1 008090(H0U EAX, DWORD PTR FS:T8] 
G0402EE1| . 50 ISH E! 
239462EE2| . 64:8925 G80000 HOU DWORD PTR FS:[0], ESP 
25492EE3| . BIEC 44010000 SUB ESP, 144 
BO4AZEEF| . 53 PU 
B0402EF8| . 56 PUSH ESI 
ma4O62EF1| . 57 PUSH EDI 
@9402EF2 . 89265 F4 Hou PTR SS: L[EBP-C1, ESP 
58482EFS| . C745 F8 F9104 HOU SSE abexcm2-. 00401 
0402EFC| . 8B7S 08 MOU ESI, PTR SS: 3 
G04B2EFF| . BCS MOU ERX, ESI 
G04ü2FO1| . 83E0 O1 AND EAX, 1 
99492F94| ` 8945 FC MOU DUORD PTR'SS:LEBP-41,ERX 
BO462F87| . 83E6 FE RND ESI,FFFFFFFE 
G0482FORn| . 56 PUSH ESI 
30402FØ8| . 8975 88 MOU DWORD PTR SS:tEBP*8],ESI 
W0402FGE| .  SBOE MOU ECX, DWORD PTR ODS: [ESI] 
ea4g2F10| . FF51 84 CALL DWORD PTR DS: [ECX+4] 
89402F13 . 8816 MOU EDX, DWORD PTR DS: [ESI] 
Qa402F15| . 33FF Don TA EDI 
@9402F17| . 56 
&0482Fis| . 897D DC foU pico PTR SS:[EBP-241, ED 
20402Fi&| . 8970 CC MORBIS ESI ED 
BE462F1E| . 897D BC Mey DWORD i EDI 


图 8-14 按钮 的 事件 处 理 程序 


84.4 ”预测 代码 


如 果 你 有 编程 或 逆向 分 析 经 验 ， 就 可 以 预测 出 生成 序列 号 的 方法 。 若 是 Win32 API 程 序 ， 则 
有 如 下 特点 。 

口 读 取 Name 字符 串 (使 用 GetWindowText、GetDlgItemText 等 API )。 

Q 启动 循环 ， 对 字符 加 密 (XOR、ADD、SUB 等 )。 

上 述 文件 使 用 VB 引擎 函数 编写 而 成 ， 也 有 类 似 的 原理 。 若 预测 正确 ， 从 图 8-14 的 事件 处 理 
程序 起 始 代码 开始 调试 ， 查 找到 读 取 Name 字 符 串 的 部 分 后 ， 紧 接着 就 会 出 现 加 密 循环 。 

E 
调试 前 先 预测 代码 的 实现 ， 这 是 个 好 习惯 。 若 预测 有 误 也 没关系 ， 从 头 开始 调试 
即 可 。 但 若是 有 幸 预 测 正 确 ， 则 可 以 节省 大 量 调试 时 间 。 


8.4.5 读 取 Name 字 符 串 的 代码 


我 们 预测 到 程序 使 用 VB 引擎 的 API 获 取 用 户 输入 的 字符 串 ， 下 面 以 CALL 指 令 为 主 进行 调试 
( 请 注意 观察 此 时 传递 给 API 的 参数 及 返回 值 )。 开始 调试 后 ， 遇 到 第 四 条 CALL 指 令 ， 如 下 所 示 。 


00402F8E LEA EDX,DWORD PTR SS:[EBP-88] ; = F] +# #'Name + 8 # 6) 35 8 # z+ $. 
00402F94 PUSH EDX 

00402F95 PUSH ESI 

00402F96 MOV ECX,DWORD PTR DS:[ESI] 

00402F98 CALL DWORD PTR DS: [ECX+A0] ; = 获取 Name 


查看 00402F8E 地 址 处 的 代码 可 以 看 到 ,函数 的 局 部 对 象 SS:[EBP-88] 地 址 传递 (PUSH ) 给 了 
函数 的 参数 。 查 看 该 地 址 。 

要 查找 的 是 Name 字 符 串 , 在 VB 中 , 字符 串 使 用 字符 串 对 象 (这 与 C 语 言 使 用 char 数 组 不 同 ), 
如 图 8-15 查 看 内 存 ， 很 难 认 出 实际 的 字符 串 。 因 此 把 OllyDbg 的 Dump 窗 口 更 改 为 Long -Address 
with ASCII dump 视 图 模式 。 






a012FE38| 99 Bà Ga OU GO GO OO GU SÇ IS DO GO eo DA oa @0|........ St | 
7 B3 Da ?7 81 68 00 au... 
GBISFBBS|ó1 G8 dà galop ga GO gales FB 12 O0 Yë 47 42 7301111111 » t. vGBs 


图 8-15 SS:[EBP-88] 
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C| agapageo ` ` ` ` 
G1SFBR4| 00000806| -. .. 






图 8-16 Long -Address with ASCII dump 


像 如 图 8-16 所 示 更 改 视图 方式 后 ， 就 可 以 直接 看 到 VB 字符 串 对 象 存储 实际 字符 串 的 缓存 地 
址 了 。 在 该 状态 下 运行 到 402F98 地 址 处 的 CALL 命 令 ， 值 存储 到 字符 串 对 象 ， 如 图 8-17 所 示 。 





图 8-17 ” Name 字符 串 
Name 字 符 串 ( 以 字符 串 对 象形 式 ) 存储 到 [EBP-88] 地 址 。 


8.4.6 ”加 密 循环 


继续 调试 ， 遇 到 如 下 循环 ， 即 一 系列 循环 语句 。 
00403102 MOV EBX,4 ; EBX = 4 (loop count) 
0040318B CALL DWORD PTR DS:[&MSVBVM60. X vbaVarForInit] 
00403191 MOV EBX,DWORD PTR DS: [&MSVBVM60.#632] ; MSVBVM60.rtcMidCharVar 


00403197 TEST EAX,EAX ; loop start 
00403199 JE abexcm2-.004032A5 


0040329A CALL DWORD PTR DS:[&MSVBVM60.. vbaVarForNext] 
004032A0 JMP abexcm2-.00403197 ; loop end 
004032A5 MOV EAX,DWORD PTR SS: [EBP+8] 


简单 讲解 上 述 循环 的 动作 原理 ， 就 像 在 链表 中 使 用 next 指 针 引 用 下 一 个 元 素 一 样 ， 
__vbaVarForInit()、__vbaVarForNext() 可 以 使 逆向 分 析 人 员 在 字符 串 对 象 中 逐个 引用 字符 。 并 且 
设置 loop count ( EBX ) 使 其 按 指 定 次 数 运转 循环 。 
提示 
实测 仅 使 用 接收 的 Name 字符 串 中 的 前 4 个 字符 。 在 代码 内 检查 字符 串 的 长 度 ， 
若 少 于 4 个 字符 ,就 会 弹出 错误 消息 框 


至 此 我 们 已 经 查找 到 了 所 有 希望 查看 的 部 分 ， 接 下 来 了 解 一 下 加 密 方 法 。 


8.4.7 ”加 密 方法 


输入 的 Name 字 符 串 为 “ReverseCore”。 


004031F0 CALL DWORD PTR DS: TOMSVBNNGG _vbaStrVarVal] 
004031F6 PUSH EAX ; 从 Name 字 符 事 中 获取 的 一 个 字符 (UNICODE) 
. 'R' 


004031F7 CALL DWORD PTR DS:[&MSVBVM60.:516] ; rtcAnsiValueBstr() Unicode - ASCII 变换 
, 'R'= 52 

00403221 LEA EDX,DWORD PTR SS:[EBP-54] 

00403224 LEA EAX,DWORD PTR SS:[EBP-DC] 

0040322A PUSH EDX ; EDX = 52 

0040322B LEA ECX,DWORD PTR SS:[EBP-9C] 
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00403231 PUSH EAX 


00403232 PUSH ECX ; dest 

00403233 MOV DWORD PTR SS: [EBP-D4],64 

0040323D MOV DWORD PTR SS:[EBP-DC],EDI ; [EBP-DC] = EAX = 64 
调试 到 此 ， 看 一 下 栈 。 

0012FAB0 0012FB84 ECX 

0012FAB4 0012FB44 ; EAX 

0012FAB8 0012FBCC ; EDX 
查看 各 内 存 地 址 ， 如 下 所 示 。 

0012FB84 00000000 .... ; ECX 

0012FB88 00000001 #... 

0012FB8C 00000001 #... ; Tf 55 6 E 

0012FB90 77D098CF ?? 

0012FB44 00000002 #... ; EAX 


0012FB48 00000000 .... 

0012FB4C 00000064 d... ; ## (64) 

0012FB50 00000000 .... 

0012FBCC 60000002 #... ; EDX 

0012FBDO 00000000 .... 

0012FBD4 00000052 R... ; Name 字 符 囊 首 字符 的 ASCII 值 
0012FBD8 00000000 .... 


运行 如 下 函数 ， 将 加 密 后 的 值 存储 到 ECX 寄 存 器 所 指 的 缓冲 区 。 
00403243 CALL DWORD PTR DS: [&MSVBVM60.__vbaVarAdd] ; _ vbaVarAdd() : 52 + 64 = B6 
此 时 栈 如 下 。 


0012FB84 00000002 #... ; ECX 

0012FB88 00000001 #... 

0012FB8C 000000B6 ?.. ; 计算 结果 : 52 + 64 = B6 
0012FB90 77D098CF ?? 


计算 结果 B6 是 原 值 52 CR ) 加 上 密 钥 64 生 成 的 值 , 就 像 在 图 8-13 中 看 到 的 一 样 , 表示 真 Serial 
的 前 2 个 字符 。 以 下 代码 把 数字 B6 转 换 为 字符 'B' (Unicode )。 
00403250 LEA EDX,DWORD PTR SS:[EBP-54] 
00403253 LEA EAX,DWORD PTR SS:[EBP-9C] 
00403259 PUSH EDX ; EDX 12FBCC (44 kd HA) 


0040325A PUSH EAX ; EAX = 12FB84 
0040325B CALL DWORD PTR DS: [&MSVBVM60.#573] ; rtcHexVarFromVar(): 变更 为 Unicodel 


调用 函数 后 ， 查 看 EAX 所 指 缓冲 区 ( 0012FB84 )， 生 成 B6 字 符 串 ， 如 下 所 示 。 


0012FB84 73470008 #.Gs 
0012FB88 0012FBCC ##. 
0012FB8C 001577B4 $$. Unicode "B6" 
0012FB90 0012FB84 s. 


查看 实际 字符 串 的 地 址 ( 001577B4 )。 数 字 B6 变 为 Unicode 字 符 串 B6。 
001577B4 00360042 B.6. 
下 列 代码 把 生成 的 字符 串 连接 起 来 。 


0040326C LEA ECX,DWORD PTR SS: [EBP-44] 
0040326F LEA EDX,DWORD PTR SS: [EBP-54] 


" H 


00403272 PUSH ECX ; old 
00403273 LEA EAX,DWORD PTR SS:[EBP-9C] 
00403279 PUSH EDX ; add 


0040327A PUSH EAX ; serial 
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0040327B | CALL DWORD PTR DS:[&MSVBVM60. vbaVarCat] ; _ vbaVarCat(). 连接 字符 囊 
; Serial(EAX) = old(ECX) + add(EDX) 


最 后 执行 循环 ， 生 成 如 下 序列 号 。 
serial = old("B6C9DA") + add("C9") = ”B6C9DAC9” (最终 形成 的 Serial 字 符 囊 ) 
加 密 方法 整理 如 下 。 
(1) 从 给 定 的 Name 字 符 串 前 端 逐 一 读 取 字符 (HAK )。 
(2) 将 字符 转换 为 数字 (ASCII 代 码 )。 
(3) 向 变换 后 的 数字 加 64。 
(4) 再 次 将 数字 转换 为 字符 。 
(5) 连接 变换 后 的 字符 。 


8.5 小结 


从 破解 层面 看 ,示例 是 个 很 容易 说 明 的 文件 。 但 对 于 代码 逆向 分 析 初 学 者 而 言 ， 其 中 包含 了 
KENE ( VB 文件 、 字 符 串 加 密 )， 若 要 一 一 学 习 ， 分 量 就 显得 非常 多 。 

奉 跟 随 调试 时 进展 不 顺 , 请 不 要 轻易 放弃 。 看 着 上 面 的 说 明 ， 各 位 可 能 会 觉得 我 调试 得 过 于 
简单 了 (特别 是 讲解 有 关 事 件 处 理 程序 代码 的 部 分 ), 但 是 我 为 了 编写 该 章节 已 经 重启 了 10 多 次 。 

错过 要 查找 的 代码 时 就 要 重启 调试 ， 需 要 不 断 重 启 以 跟踪 VB 字符 串 对 象 内 部 的 字符 串 缓 冲 
区 。 各 位 也 要 经 历 这 样 一 个 过 程 才能 提高 调试 水 平 。 因此 ,现在 暂时 跳 过 还 不 懂 的 部 分 ， 达 到 一 
定 水 平 后 再 挑战 。 


. 除了 前 面 介绍 的 方法 ， 还 有 别 的 方法 吗 ? 

. 当然 ， 还 有 很 多 呢 。 破 解 方法 不 是 一 成 不 变 的 。 即 便 是 同一 个 文件 ， 也 可 以 尝试 使 用 不 
同方 法 ， 不断 尝试 才能 提高 水 平 。 

. 破解 很 多 crackme 文 件 能 够 帮助 提高 逆向 分 析 水 平 吗 ? 

.的确 对 提高 逆向 分 析 水 平 有 一 定 帮 助 , 但 我 建议 初学 者 分 析 crackme 是 想 让 他 们 感受 代码 
逆向 分 析 的 乐趣 。 代 码 逆 向 分 析 领 域 中 要 学 习 的 内 容 非常 多 ， 若 感受 不 到 其 中 的 乐趣 很 
容易 半途 而 废 。 所 以 ， 如 果 通 过 分 析 crackme 文 件 感受 到 了 逆向 分 析 的 乐趣 ， 学 习 起 来 就 
不 会 觉得 太 难 。 但 也 不 要 过 分 沉 泗 于 crackme 程 序 的 分 析 ， 只 要 能 从 中 感受 到 乐趣 足 矣 。 

. “调试 到 403329” 的 含义 是 “在 403329 地 址 处 设置 断 点 ， 然 后 运行 Run(F9) 命 令 ” 吗 ? 

. 使 用 断 点 可 快速 到 达 指 定位 置 。 也 可 使 用 StepInto(F7)/StepOver(F8) 命 令 调试 到 相应 地 
址 处 。 

. 如 图 8-10 所 示 ， 若 想 查 看 栈 内 存 ， 该 怎么 办 呢 ? 

. 在 OllyDbg 的 Dump 窗 中 使 用 移动 命令 (CtrltG ) 即 可 。 或 者 在 图 8-9 的 栈 窗 口中 选择 
12FAB8， 再 选择 鼠标 右键 菜单 中 的 Follow in dump 项 。 抑 或 在 图 8-8 中 选择 403321 地 址 后 ， 
使 用 鼠标 右键 菜单 中 的 Follow in dump-Memory Address 命 令 。 

. 为 何 要 在 “TEST AX, AX” 指 令 中 比较 2 个 一 样 的 项 ? 

. 为 了 检测 AX 是 否 为 0。 只 要 把 它 想 成 汇编 语法 的 特征 即 可 。 比 如 图 8-8 的 40332F 地 址 处 有 
如 下 指令 : - 





TEST AX, AX 
JE 403408 


将 上 述 汇 编 代 码 转换 为 C 语 言语 句 ， 如 下 所 示 : 


If(AX==0) 
goto 403408 


“原来 汇编 语法 是 这 样子 啊 ”， 这 样 想 就 好 。 

. 您 如 何在 图 8-14 的 代码 中 查找 到 了 Check 按 钮 的 事件 处 理 程序 ? 

. 参考 图 8-6~ 图 8-8 的 代码 ， 把 “Wrong serial” 字 符 串 定 为 目标 ， 然 后 查找 引用 该 字符 串 的 
代码 ( 因为 代码 所 属 区 域 即 是 按钮 的 事件 处 理 程序 )。 从 查找 到 的 代码 开始 ， 向 上 拖 动 滑 
动 条 ， 找 到 生成 栈 帧 (函数 开始 ) 的 部 分 。 

. 加 密 字符 串 的 代码 复杂 难 懂 ， 看 也 看 不 明白 ， 您 是 怎么 知道 的 呢 ? 

. 我 找 出 “ReverseCore” 字 符 串 的 地 址 后 ， 在 查找 访问 该 字符 串 的 代码 过 程 中 发 现 了 加 密 
代码 。 而 且 ， 仔 细 逐 行 调试 也 能 发 现 。 对 于 初学 者 而 言 ， 这 些 不 是 一 下 子 就 能 理解 的 内 
容 。 不 断 努 力 、 反 复 调 试 ， 就 会 慢 慢 明白 。 

. 读 取 Name 的 位 置 是 StackFrame 形 成 后 第 四 个 call 语 句 ， 您 是 如 何 知 道 的 ? 

. 先 找到 处 理 程序 再 反复 调试 该 代码 。 在 此 过 程 中 边 注意 观察 寄存 器 、 栈 边 调试 代码 ， 就 
会 看 到 如 下 指令 。 
00402F8E LEA EDX, DWORD PTR SS:[EBP-88] 


00402F98 CALL DWORD PTR DS: [ECX+A0] 


00402FB6 MOV EAX, DWORD PTR SS:[EBP-88] 
上 面 00402FB6 地 址 处 的 命令 把 字符 串 的 地 址 设置 到 EAX 寄存 器 。 由 此 可 以 推出 [EBP-88] 
变量 即 是 字符 串 对 象 , 且 值 是 由 00402F98 地 址 处 的 CALL 指 令 设 置 的 。 只 要 反复 调试 就 会 
知道 这 一 点 ， 各 位 不 断 挑 战 后 也 终 将 了 解 。 

. 其 他 部 分 都 明白 ， 但 加 密 部 分 太 难 了 。 除 了 不 断 调 试 外 ， 还 有 别 的 方法 吗 ? 

. 有 些 读者 初次 接触 这 些 汇编 代码 形式 的 加 密 代码 ， 感 到 很 难 是 十 分 正常 的 ， 我 也 一 样 。 
但 可 以 明确 告诉 大 家 ， 即 便 一 再 抱 恕 ， 只 要 不 断 看 代码 ， 一 个 月 、 两 个 月 ……. 一 年 后 就 
会 觉得 简单 一 些 了 。 坚 持 就 是 胜利 。 

. 为 什么 402ED0 地 址 处 没有 Check 按 钮 的 注释 ? 

. 这 个 注释 是 我 为 便于 讲解 手动 添加 的 。 由 于 没有 特别 说 明 ， 可 能 让 大 家 误 以 为 它 是 
OllyDbg 默 认 提 供 的 注释 。 
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9.1 Process Explorer 


Process Explorer 是 Windows 操 作 系 统 下 最 优秀 的 进程 管理 工具 。 
https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx 
它 是 Mark Russinovich 开 发 的 进程 管理 实用 程序 。Mark Russinovich 创 办 了 著名 的 sysinternals 
(目前 已 并 入 微软 旗下 )， 他 有 着 渊博 的 Windows 操 作 系 统 知识 ， 开 发 并 公布 了 许多 实用 程序 
( FileMon, RegMon. TcpView. DbgView. AutoRuns, RootKit Revealer 等 ), 也 是 《深入 解析 Windows 
操作 系统 》 一 书 的 合 著 者 。 他 曾 公 开 过 FileMon 与 RegMon 的 源 代 码 。 在 Windows 操 作 系统 缺乏 各 种 
言 息 资料 的 早期 ， 这 些 源码 对 系统 驱动 开发 者 而 言 就 像 沙 漠 中 的 绿洲 。 
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图 9-1 Process Explorer 运 行 画 面 
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言 归 正 传 ， 一 起 看 一 下 Process Explorer 的 运行 界面 (参考 图 9-1 )。 它 拥有 Windows 任 务 管理 
器 无 法 比拟 的 优秀 界面 组 织 结构 。 画面 左上 侧 以 Parent/Child 的 树 结构 显示 当前 运行 的 进程 。 右 侧 
显示 各 进程 的 PID、CPU 占 有 率 、 注 册 信息 等 ( 可 通过 Option 添 加 )。 画 面 下 方 ( 选项 ) 显示 的 是 
加 载 到 所 选 进程 中 的 DLL 信息 ， 或 者 当前 选中 进程 的 所 有 对 象 的 句柄 。 


92 ”具体 有 了 哪些 优点 呢 


用 户 界面 看 上 去 更 漂亮 了 , 各 位 一 定 想 知道 具体 有 哪些 优点 。 我 在 逆向 分 析 代 码 时 常常 会 同 
时 打开 Process Explorer， 原 因 就 在 于 它 有 以 下 这 些 优点 。 

口 Parent/Child 进程 树 结构 。 

a 以 不 同 颜色 ( 草绿 /红色 ) 显示 进程 运行 /终止 。 

O 进程 的 Suspend/Resume 功能 ( 挂 起 /恢复 运行 )。 

Q 进程 终止 (kil) 功能 (支持 Kill Process Tree 功能 )。 

口 检索 DLL/Handle ( 检索 加 载 到 进程 中 的 DLL 或 进程 占有 的 句柄 )。 

此 外 还 提供 了 其 他 多 样 化 的 功能 , 但 是 上 面 列举 的 这 些 是 代码 逆向 分 析 时 最 常用 的 。 该 软件 
还 可 以 不 断 更 新 (修正 Bug、 添 加 新 功能 )， 这 也 是 非常 大 的 优点 。 


9.3 sysinternals 


https://technet.microsoft.com/en-us/sysinternals/default.aspx 

进入 上 述 网 站 ， 你 会 看 到 迷你 控制 台 版 本 的 Process Explorer ( PsKill, PsSuspend, PsList% )。 
请 下 载 并 运行 这 些 实用 小 程序 。 它 们 是 非常 棒 的 控制 台 版 本 小 程序 ， 对 Process Explorer 的 功能 做 
了 删 减 。 

那些 因 学 习 代码 逆向 技术 而 学 习 Windows 内 部 结构 的 读者 ， 可 以 学 习 并 尝试 编写 这 些 控 制 台 
程序 。 这 能 够 加 深 各 位 对 进程 与 DLL 等 的 理解 ( 从 经 验 来 说 ,跟着 动手 操作 是 提高 自身 技术 水 平 
的 最 好 方法 )。 
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第 10 章 ” 函 效 调用 约定 
本 章 学 习 函 数 调用 约定 (Calling Convention ) 的 相关 知识 。 


10.1 函数 调用 约定 


Calling Convention 译 成 中 文 是 “函数 调用 约定 ”, 它 是 对 函数 调用 时 如 何 传递 参数 的 一 种 约定 。 

我 们 通过 前 面 的 学 习 已 经 知道 , 调用 函数 前 要 先 把 参数 压 人 栈 然 后 再 传递 给 函数 。 栈 就 是 定 
义 在 进程 中 的 一 段 内 存 空间 ， 向 下 〈 低地 址 方向 ) 扩展 ， 且 其 大 小 被 记录 在 PE 头 中 。 也 就 是 说 ， 
进程 运行 时 确定 栈 内 存 的 大 小 ( 与 malloc/new 动 态 分 配 内 存 不 同 )。 

提问 1. 函数 执行 完成 后 ， 栈 中 的 参数 如 何 处 理 ? 

回答 1. 不 用 管 。 

由 于 只 是 临时 使 用 存储 在 栈 中 的 值 ， 即 使 不 再 使 用 ， 清 除 工 作 也 会 浪费 CPU 资源 。 下 一 次 
再 向 栈 存 人 其 他 值 时 ， 原 有 值 会 被 自然 覆盖 掉 ， 并 且 栈 内 存 是 固定 的 ， 所 以 既 不 能 也 没 必要 释 
放 内 存 。 

提问 2. 函数 执行 完毕 后 ，ESP 值 如 何 变化 ? 

回答 2. ESP 值 要 恢复 到 函数 调用 之 前 ， 这 样 可 引用 的 栈 大 小 才 不 会 缩减 。 

栈 内 存 是 固定 的 ，ESP 用 来 指示 栈 的 当前 位 置 ， 若 ESP 指 向 栈 底 ， 则 无 法 再 使 用 该 栈 。 函 数 
调用 后 如 何 处 理 ESP， 这 就 是 函数 调用 约定 要 解决 的 问题 。 主 要 的 函数 调用 约定 如 下 。 

口 cdecl 

口 stdcall 

O fastcall 

应 用 程序 的 调试 中 ，cdecj 与 stdcall 的 区 别 非 常 明显 。 不 管 采用 哪 种 方式 ， 通 过 栈 来 传递 参数 
的 基本 概念 都 是 一 样 的 。 


术语 说 明 
e 调用 者 一 一 调用 子 数 的 一 方 。 
e 被 调用 者 被 调用 的 函数 。 





比如 在 main) £& ZC PAA printf() iC BF , 调用 者 为 main), 被 调用 者 为 printf()。 





10.1.1 cdecl 


cdec] 是 主要 在 C 语 言 中 使 用 的 方式 ， 调 用 者 负责 处 理 栈 。 


#include "stdio.h” 
int add(int a, int b) 
T 


return (a + b); 
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int main(int argc, char* argv[]) 


1 
return add(1, 2); 


) 
使 用 VC++ (关闭 优化 选项 ) 编译 代码 10-1 生 成 cdecl.exe 文 件 后 ， 使 用 OllyDbg 调 试 。 
从 图 10-1 中 401013~40101C 地 址 间 的 代码 可 以 发 现 , add0 函 数 的 参数 1 、2 以 逆序 方式 压 人 栈 ， 
调用 add0) 函 数 ( 401000 ) 后 ， 使 用 ADD ESP8 命 令 整 理 栈 。 调 用 者 main0) 函 数 直接 清理 其 压 人 栈 
的 函数 参数 ， 这 样 的 方式 即 是 cdecl。 









86581981 











EC 
68501003 | . 8B45 08 MOU ERX ,DWORD PTR SS:[EBP*8] 
80581086 | . 0345 Gc ADD ERX ,DWORD PTR SS:[EBP«C] 
985918089 || . 5D POP EBP 
80581980 |L. c3 | RETN 
084018868 cc INT3 
90481089C cC INT3 
8049108D CC INT3 
8858188E CC INT3 
8858188F CC INT3 
80591018 r$ 55 PUSH EBP # main() 
99581011 | . 8gBEC MOU EBP,ESP 
88581813 || . 6n 02 PUSH 2 frg? = 88888882 
80581015 || . óA 81 PUSH 1 [aron = 08888081 
88491817 || . E8 E4FFFFFF |CALL 00401000 cdecl. 00491088 
06461010 ||. 83C4 08 |RDD ESP,8 
98489181F |. 5D POP EBP 
80591028 . £3 RETH 


图 10-1 cdecl.exe 示 例文 件 
DER —— 
cdecl 方式 的 好 处 在 于 ， 它 可 以 像 C 语 言 的 printfO 函 数 一 样 ， 向 被 调用 函数 传递 长 
度 可 变 的 参数 。 这 种 长 度 可 变 的 参数 在 其 他 调用 约定 中 很 难 实 现 。 








10.1.2 stdcall 
stdcall 方 式 常 用 于 Win 32 API, 该 方式 由 被 调用 者 清理 栈 。 前面 讲解 过 C 语 言 默 认 的 函数 调用 
方式 为 cdecl。 若 想 使 用 stdcall 方 式 编 译 源码 ， 只 要 使 用 _stdcall 关 键 字 即 可 。 


1£8310-2 stdcall 示例 


#include ”stdio.h” 
int _stdcall add(int a, int b) 
{ 


return (a + b); 


int main(int argc, char* argv[]) 


{ 


return add(1, 2); 


使 用 VC++ (关闭 优化 选项 ) 编译 代码 10-2 生 成 stdcall.exe 文 件 后 ， 使 用 OllyDbg 调 试 。 
从 图 10-2 中 的 代码 可 以 看 到 ， 在 main0 函 数 中 调用 add0 函 数 后 ， 省 略 了 清理 栈 的 代码 (ADD 
ESP8 )。 

栈 的 清理 工作 由 add0 函 数 中 最 后 (40100A ) 的 RETN 8 命令 来 执行 。RETN 8 命令 的 含义 为 
RETN+POP 8 字 节 ， 即 返回 后 使 ESP 增 加 到 指定 大 小 ， 如 图 10-2 所 示 。 
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8880941803 || -8Bn5 08 MOU EAX,DWORD PTR SS:[EBP+8] 

80581806 |. 0345 oc ADD ERX,DUORD PTR SS:[EBP+C] 

8905019809 || . 5D | POP EBP 

80181800 L. c2 0800 |RETN 8 

86561000 CC | INT3 

8958188E cC | INT3 

8046188F cc | INT3 | 

80501018 |r$ 55 PUSH EBP | # maing) 
88591811 |. 8BEC [MOU EBP,ESP | 

89581013 || . óA 02 PUSH 2 irArg2 = 808088082 
80501815 |. 6n 01 PUSH 1 [es = 080890801 
08581817 | . E8 EMFFFFFF CALL 80501088 stdcall.88581088 
88h0181C ||. 5D POP EBP 

09501010 |L. c3 RETN | 


图 10-2 ”stdcall.exe 示 例文 件 


像 这 样 在 被 调用 者 add() 函 数 内 部 清理 栈 的 方式 即 为 stdcall 方 式 。stdcall 方 式 的 好 处 在 于 ， 被 
调用 者 函数 内 部 存在 着 栈 清理 代码 ， 与 每 次 调用 函数 时 都 要 用 ADD ESP,XXX 命 令 的 cdecl 方 式 相 
比 ， 代 码 尺寸 要 小 。 虽 然 Win 32 API 是 使 用 C 语 言 编写 的 库 ， 但 它 使 用 的 是 stdcall 方 式 ， 而 不 是 C 
语言 默认 的 cdec] 方 式 。 这 是 为 了 获得 更 好 的 兼容 性 ， 使 C 语 言 之 外 的 其 他 语言 (Delphi(Pascal)、 
Visual Basic 等 ) 也 能 直接 调用 API。 


10.1.3 fastcall 


fastcall 方 式 与 stdcall 方 式 基本 类 似 ， 但 该 方式 通常 会 使 用 寄存 器 〈 而 非 栈 内 存 ) 去 传递 那些 
需要 传递 给 函数 的 部 分 参数 ( 前 2 个 )。 若 某 函 数 有 4 个 参数 ， 则 前 2 个 参数 分 别 使 用 ECX、EDX 
寄存 器 传递 。 

顾名思义 ，fastcal] 方 式 的 优势 在 于 可 以 实现 对 函数 的 快速 调用 ( 从 CPU 的 立场 看 ， 访 问 寄存 
器 的 速度 要 远 比 内 存 快 得 多 )。 单 从 函数 调用 本 身 来 看 ，fastcall 方 式 非常 快 ， 但 是 有 时 需要 额外 
的 系统 开销 来 管理 ECX、EDX 寄 存 器 。 倘 若 调用 函数 前 ECX 与 EDX 中 存 有 重要 数据 , 那么 使 用 它 
们 前 必须 先 备 份 。 此 外 ， 如果 函 数 本 身 很 复杂 ,需要 把 ECX、EDX 寄 存 髓 用 作 其 他 用 途 时 ， 也 需 
要 将 它们 中 的 参数 值 存储 到 另外 某 个 地 方 。 

前 面 我 们 学 习 了 也 数 调用 约定 的 相关 知识 。 关 想 进一步 学 习 栈 与 寄存 器 ， 请 参考 相关 章节 
内 容 。 
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一 位 名 叫 Lena 的 人 在 http:/www.tuts4you.com/ 公 示 板 上 贴 了 40 个 crackme 讲 座 ， 以 帮助 初学 者 
学 习 代 码 逆 向 分 析 技 术 。 这 些 讲座 非常 受 欢迎 , 因为 所 有 讲座 都 以 Flash 视 频 形式 呈现 出 来 , 且 让 
学 习 者 感到 非常 亲切 。 各 位 可 以 链接 到 tuts4you 网 站 观看 这 些 视频 讲座 ， 这 对 学 习 代码 逆向 分 析 
技术 非常 有 帮助 。 

11.4 运行 

首先 运行 要 破解 的 文件 。 

弹出 消息 对 话 框 ， 显 示 2 条 信息 。 

口 删除 所 有 烦人 的 Nags (W) ) 

口 查找 registration code 

选择 “确认 ”按钮 ， 显 示 主 窗口 ， 如 图 11-2 所 示 。 

这 是 个 典型 的 serial crackme 程 序 。 阅 读 画面 中 的 蓝 色 


文字 ， 要 求 使 用 SmartCheck 注 册 ( SmartCheck 是 Numega 
公司 制作 的 实用 程序 ,是 破解 者 喜欢 使 用 的 工具 之 一 。 本 














图 11-1 初始 消息 框 





F Part10Tut.ReverseMe um 

















A Program From 
书 仅 使 用 调试 器 进行 调试 破解 ^ Use SmartCheck to reg! 
提示 fi Kill begin/start nags ! 
Regode:| — 
车 示例 文件 ( Tut.ReverseMel.exe ) 无 法 运行 ， ipe 
imag. ei 
请 先 将 附带 的 MSVBVMSO.dll 文件 复制 到 示例 目录 TE 
下 再 运行 。 图 11-2 主 画 面 


11.2 分 析 


11.2.1 目标 “1): 去 除 消息 框 


第 一 个 目标 是 去 掉 Nag 消 息 框 ， 即 图 11-1 中 的 消息 框 。 开 始 运行 程序 ， 或 单 击 图 11-2 中 的 
“Nag?” 按 钮 时 ， 就 会 弹出 该 消息 框 。 使 用 OllyDbg 打 开 文 件 。 

图 11-3 的 代码 看 上 去 非常 眼熟 ， 其 实 就 是 abex crackme 2 中 看 到 过 的 Visual Basic 代 码 。( 看 到 
00401162 地 址 的 MSVBVM50.ThunRTMain 函 数 了 吗 ? ) 
š$- FF25 84514000 | JMP DWORD PTR DS: [C&MHSVBUMSO.__vbaFreeStr>] HSUBUHS0.__ubaFreeStr 


JMP DWORD PTR DS:LC&HSUBUMSB.  vbaHresultChead RUBRO. iab ee 
. == x 
JMP DWORD PTR DS: C<&MSUBUMSO, | vbaStrCmp»1 HMSUBUMSG. . obaSt 


9040811335 










&G4aii4n | S- 
09401150 | .- FF2S 3CS14000 m DWORD PTR DS:LC&HSUBUMSB.EUENT SINK Query| MSUBUMSO.EUENT. . Si B QueruInteri 
88481156 | .- FF25 20614000 | JMP DWORD PTR DS: EcerisuBUrea. EUENT-SINK-BddRe| MSUBUMSO, EUENT SINK RddRef 
0940115C | ` 51400A |JMP DWORD PTR DS:Lc&HSUBUMSO. EUENT-SIMK-Relea MSUBUMSO. EVENT_-SINK Release 
 00491162 64514000 DWORD PTR. DS: E <&HSUBUHSO 210057 HSUBUMSO. ThunRTMain 

8948116D < 








CH *16 a» 
ADD BYTE PTR DS: LEARI, AL 
ADD BYTE PTR 0S: [EAX], AL 


图 11-3 ”EP 代码 


56491172 . 
0090401174 。 


80 第 1013 视频 讲座 





这 一 次 也 来 预测 一 下 代码 。 要 去 除 消息 框 ,只 要 操作 调用 消息 框 的 函数 部 分 即 可 。Visual Basic 


中 调用 消息 框 的 函数 为 MSVBVM50.rtcMsgBox。 
在 OllyDbg 中 使 用 鼠标 右键 菜单 的 Search for-All intermodular calls 命 令 ， 将 会 列 出 程序 中 调用 


的 API 目 录 ， 如 图 11-4 所 示 。 


E Found intermodular c: 


LL. CHP. SHSUEUHEO. B8: jsassemi 
Mb i: E Follow in Disassembler s . Enter 


Toggle breakpoint F2 
Conditional breakpoint Shift«F2 
Conditional log breakpoint Shitt«F4 


Set log breakpoint on every call to rtcMsaBox 


Set breakpoint on every command 
Set log breakpoint on every command 
Copy to clipboard 

Sort by 

Appearance 


VERUERORREPRRUEREEE 
和 





LL 《JP2SMSUBUTEB .一 





图 11-4 All intermodular calls 


在 图 11-4 中 选择 Destination 栏 目 ， 根 据 函 数 名 称 排 序 。 共 有 4 处 调用 要 找 的 rtcMsgBox 函 数 。 
选择 鼠标 右键 菜单 中 的 Set breakpoint on every call to rtcMsgBox 菜 单 ， 在 所 有 调用 rtcMsgBox 


的 代码 处 设置 断 点 ， 如 图 11-5 所 示 。 


Eš Found intermodular calls 


ALI 50. it | clisgBon 
CALL ihe: &MSUBUMSO. 3898》 HSUBUMSB rtoMsgBox 
CALL <JMP.&MSUBUMSO. #595> | MSUBUMSG. rteMsgBox 
00401160 | CALL «IMP. &MSUBUMSA. #100> | HSUBII ThunRTMain 


End 





图 11-5 在 调用 rtcMsgBox 代 码 处 设置 断 点 
后 在 调试 句 中 按 F9 键 运行 程序 。 程 序 运 行 到 设 有 断 点 的 地 方 就 停 下 来 ， 如 图 11-6 所 示 。 


3849. + 89B5 SCFFFFFF | MOU DUORD PTR $8: [EBP-R4J, ESI 
20402 + C745 84 FOiE4d MOU DUORD PTR SS:[EBP-7C],Tut_Reve.@ UNICODE "Get rid of all Nags and find the right 
8990 ?CFFFFFF | MOU DUORD PTR SS: LEBP-84],EBX 

ES 9SE4FFFF |CALL «JMP.&MSUBUMSO, _vbaVarCopy > 





6A 03 PUSH 3 
8095 7CFFFFFF | LEA EDX, DWORD PTR $S;:LEBP-84J 
5F | POP EDI 


8040 DC LER ECX, DWORD PTR $S:0EBP-241 
C745 84 21080d HOU DUORD PTR SS:IEBP-7C1,-1 

898D 7CFFFFFF | HOU DUORD PTR SS:fEBP-841,EDI 

EB 71E4FFFF |CALL «JMP.&HSUBUMSB. _vbaVarMove> 
8095 7CFFFFFF | LEA EDX, OWORO PTR SS:[EBP-847 
804D cc [LEA ECX, DWORD PTR SS: [EBP-341 
C745 84 781F4@ MOU DUORG PTR SS:[EBP-7C], Tut_Reve.@ UNICODE "Nag Screen ” 
8990 7CFFFFFF MOU DWORD PTR SS:tEBP-84],EBX 

ES SCE4FFFF |CALL <JMP.SHSUBUHS0O, vbaVarCopy> 


6A en PUSH &a 

B9 04000280 MOU ECX, 3006200063 

58 | POP EAX 

8940 94 MOU DWORD PTR SSrtEBP-6Cl,ECK 
8945 8C MOU DWORD PTR SS: CEBP-74], EAX 
8945 9C | Mou DWORD PTR S9: tEBP-641,ERX 
8D45 8C | LEA EAX, DWORD PTR SS: [EBP-743 
8940 A4 | MOU DWORD PTR SS: CEBP-5C1, ECX 
ca | PUSH EAX 

8D45 9C | LER EAX, OWORO PTR $S:LEBP-64l 
se j PUSH ERX 

8D45 CC jLER EAX, DWORD PTR SS:LEBP-341 
se PUSH ERX 

8045 DC LER EAX, OWORO PTR SS: [EBP-24] 
sa j PUSH EAX 

ES 21E4FFFF CALL <JMP. &MSUBUMSO. ^ vbal4Uar» 
5e PUSH ERX 

8045 AC - rus EAX, DWORD PTR.SS: [EBP-543 





5a L PUSH. EAX 











epos SCFFFFFF l LER EDX, DWORD PTR SS: [EBP-R41 


图 11-6 运行 到 402CFE 地 址 处 停止 
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程序 运行 到 402CFE 地 址 处 就 停 下 来 ,稍微 向 上 拉 一 下 滚动 条 , 可 以 看 到 图 11-1 消 息 框 中 显示 
的 字符 串 。 该 部 分 就 是 程序 开始 运行 时 用 来 显示 消息 框 的 代码 部 分 ， 终 于 找到 了 。 

继续 运行 程序 (F9 )， 弹 出 图 11-1 中 的 消息 框 ， 选 择 “确定 ”按钮 ， 显 示 出 图 11-2 的 主 画 面 。 
在 主 画 面 中 按 下 “Nag?” 按 钮 会 发 生 什 么 呢 ? 程序 运行 到 图 11-6 的 地 址 ( 402CFE ) 处 停 下 来 。 
最 初 显示 的 消息 框 与 按 主 画面 中 “Nag?” 按 钮 显示 的 消息 框 有 相同 的 运行 代码 。 所 以 只 要 对 一 处 
“ 打 补 丁 ” 即 可 。 


11.22 $T4RJ (1): 去 除 消息 框 


打 补 丁 的 方法 很 多 。 

第 一 次 尝试 

先 修改 402CFE 地 址 处 的 CALL 命 令 ， 如 下 所 示 。 
原来 
00402CFE E8 1DE4FFFF CALL <JMP.&MSVBVM50.#595> ; <= rtcMsgBox() 
修改 后 
00402CFE 83C4 14 ADD ESP ,14 ; 整理 栈 
00402D01 90 NOP ; No Operation 
00402D02 90 NOP ; No Operation 


402CFE 地 址 处 的 ADD ESP, 14 命 令 的 含义 是 ,按照 传递 给 rtcMsgBox0 人 参数 的 大 小 ( 14 ) 清理 
栈 。 并 用 NOP 填 充 其 余 2 个 字 节 ， 以 保证 代码 不 会 乱 (原来 CALL 命 令 的 大 小 为 5 字 节 ，ADD 命 令 
用 3 个 字 节 ， 还 余下 2 个 字 节 )。 

看 上 去 没有 什么 问题 ， 但 结果 却 “ 发 生 错误 ”。 和 原因 在 于 没有 正确 处 理 rtcMsgBox0 函 数 的 返 
回 值 (EAX 寄存 器 )。 

如 图 11-7， 在 402CFE 地 址 处 调用 rtcMsgBox0 函 数 后 ，402D06 地 址 处 将 返回 值 (EAX ) 存储 
到 特定 变量 (EBP-9C )。 此 处 消息 框 的 返回 值 应 该 是 1 ( 表示 “确定 ”按钮 )。 若 存储 的 为 1 之 外 
的 值 ， 则 表示 程序 终止 。 那 么 最 好 试 试 其 他 方法 。 


RLL «JMP. &MSUBUMSG. #595 
. A EDX, DWORD PTR SS:[EBP- 
. 804D BC LER ECX, DWORD PTR SS: [EBP-44] 
. 8985 64FFFFFF | MOU DWORD PTR SS:LEBP-9C1, EAX 
. 89BD SCFFFFFF | MOU DWORD FTR SS:[EBP-A41, EDI 


图 11-7 402CFE 地 址 处 的 rtcMsgBox0 调 用 










00402D12 


提示 

(1) 可 以 修改 402CFE 地 址 处 的 指令 ， 如 下 所 示 。 

ADD ESP,14 (Instruction:83C414) 

MOV EAX,1 (Instruction:B801000000) 

以 上 两 行 汇编 代码 产生 的 结果 与 调用 rtcMSsgBox(0) 函 数 后 用 户 按 “ 确 定 ” 按 钮 的 结 
果 相 同 ( 栈 与 返回 值 相同 )。 之 所 以 没有 这 样 做 是 因为 指令 长 度 不 合适 。 源 文件 402CFE 
地 址 处 的 命令 长 度 为 5 字 节 ， 但 上 面 2 行 汇编 命令 的 长 度 为 8 个 字 节 ， 因 此 会 侵占 到 
后 面 的 代码 。 

(2) x86 (IA-32 ) 系统 中 使 用 EAX 寄存 器 传递 函数 的 返回 值 。 

(3) 关于 IA-32 指令 的 说 明 请 参考 第 49 章 。 
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第 二 次 尝试 
在 图 11-6 的 代码 中 略微 向 上 拖 动 深 动 条 ， 可 以 看 到 402C17 地 址 处 表示 函数 开始 的 栈 帧 
prologue， 如 图 11-8 所 示 。 


6B462C13 
8452C14 










bD4B2PEID | . 





SUB ESP,BC "a km : 
PUSH <JMP. $HSUBUHS8.__ubaEnceptHandler>| SE handler ins 


68 66104000 
Sar :Hi 56606666g9 MOU EAX, DWORD PTR FS:L[63 
64:8925 56988569 MOU DWORD PTR FS:[6],ESP 


SIEC 38000000 | SUB 
89462529 SFFFFE 
58648263 


GB4G2E48 | . FOU ES pr PTR.SS: [EBP-81, Tut. Reve. 00401 
964092C47 | . 53 PUSH EBX 

i U DUORD PTR SS: EBP-41,EQX 
FOU ER EAX, DWORD PTR SS: [EBP«81 
: PUSH. EDI 
56462C58 | ` MOU ECX, DWORD PTR DS:LERX1 


图 11-8 +è 


402CFE 的 rtcMsgBox 函 数 调用 代码 也 是 属于 其 他 函数 内 部 的 代码 。 所 以 如 果 上 层 函 数 无 法 调 
用 ,或 直接 返回 ,最终 将 不 会 调用 rtcMsgBox 函 数 。 像 下 面 这 样 修 改 401C17 处 的 指令 ( 使 用 Assemble 
Space 指 令 )。 








原来 QU 

00402C17 55 . PUSH EBF 
00402C18 8BEC MOV EBP,ESP 
修改 后 


00402C17 C2 0400  RETN 4 ; 直接 返回 


注意 
要 根据 传递 给 函数 的 参数 大 小 调整 栈 ( RETN XX )。 


至 此 就 成 功 去 除 消息 框 。 


如 何 查看 402C17 函数 的 参数 个 数 
确认 402C17 函数 的 起 始 代码 存储 在 栈 中 的 返回 地 址 (7401E5A9 ), 如 图 11-9 所 示 。 














0012F4E8 ASCII "Be" 
8812F4EC 
8812F4FB 00402649] Tut, Reve. 00402649 
8012F4F4 
8012F4F8 


图 11-9 返回 地 址 





T4B1E59RH 
?401E59B|  SBEC 
T481ES9D| 2BE1 
7401E59F|  2BE1 
7401E5A1 
7401ESA3 
T401ESAS 


MOU EBP, ESP 

SUB ESP, ECX 

SUB ESP, ECX 

SHR ECX, 1 

MOV EDI, ESP 

REP MOUS DWORD PTR ES:[EDI], DWORD PTR DS: [LESI] 





7401E5A9 
7401ESAB| SD 





MOU ESP, EBP 
POP EBP 





图 11-10 MSVBVMS0.dlI H: 


112 2 83 


如 图 11-10 所 示 进 入 返回 地 址 ( 7401ESA9 )。 该 代码 区 域 是 MSVBVMS0.dll 模块 
区 域 。 执 行 7401E5A7 地 址 处 的 CALL EAX 指令 后 即 返 回 7401E5A9 地 址 处 。 再 次 运行 
调试 器 ( Ctrl+F2 ), 在 7401E5A7 地 址 处 设置 断 点 后 运行 程序 (F9 ), 可 以 得 知 EAX 的 值 
为 402656。 

转 到 402656 地 址 处 ， 最 终 跳 转 到 402C17 地 址 ， 如 图 11-11 所 示 。 








Bad45263C| 。 816C24 04 | SUB DWORD PTR SS:LESP+41, 36 

.. E9 CB81880| JMP Tut_Reve.00402814 

816C24 04 |SUB DWORD PTR SS:tESP*41,3F 

E9 C105000|JMP Tut. Reve.G0402C17 
Cad 04 | SUB DWORD PTR SS: LESP*41, 

JMP Tut. Reve, 00402017 

. 8S816C24 04 |SUB DWORD PTR SS:[ESP*41,42 

.. E9 4507000| JMP Tut Reue.880402DB5 

. 816C24 84 |SUB DWORD PTR SS: [ESP*41, 4F 

.. E9 8188888|JMP Tut Reve. 00402EAE 

. 816C24 04 | SUB DWORD PTR SS:LESP*4],OFFFF 

.. E9 8888088 JMP Tut Reve.80402F12 

. 816C24 04 |SUB DWORD PTR SS:[ESP*41,OFFFF 

.. E9 4189088| JMP Tut_Reve,00402FD8 


图 11-11 402656 地 址 处 的 代码 














V E9 B405000 





500402692 


综合 图 11-10 与 图 11-11 可 以 发 现 ，7401E5A7 地 址 的 CALLEAX 命令 最 终 调用 的 
是 402C17 地 址 处 的 函数 。 所 以 ， 确 认 CALL EAX 命令 ( 7401E5A7 ) 调用 前 后 的 栈 地 
址 即 可 得 知 402C17 函数 套数 的 个 数 ( 因 使 用 的 是 stdcall 调 用 方式 , 所 以 栈 由 被 调用 者 
负责 清理 )。 


11.23 ”目标 (2): 查找 注册 码 
第 二 个 目标 是 查找 注册 码 (Registration Code )。 先 如 图 11-12 所 示 输 入 任意 值 试 试 。 










fg PartiOTutReverseMe 
Program From 


Use SmartCheck to reg! 


Kill begin/start nags ! 


Regcode : |abcd1234 














图 11-12 “RegCode is wrong!” 消 息 框 


弹出 对 话 框 显示 ， 输 入 的 是 错误 的 注册 码 。 在 OllyDbg 中 检索 错误 消息 字符 串 〈 鼠标 右键 菜 
单 Search for - All referenced text strings )， 如 图 11-13 所 示 。 
查看 402A69 地 址 处 的 代码 ， 如 图 11-14 所 示 ( 双击 鼠标 )。 
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[3 Text strings referenced in Tut Hev 


mnu 
ASCII "Label3"” 
RSCII "Labeli” 
UNICODE "I* nlenals1” 
e UNICODE "Yep * Vou succeeded registering *” 
e ie NICHE “norate More" 


registi 


HOU DWORD PTR ET e eis 
MOU DWORD PTR SS: [EBP-7C1, Tut. UNT a 
CI, Tut. Rej UNICODE "Reuersele Tutorial PartlO lenal51 ” 


{UNICODE "Uisible" 
Med "Visible" 





图 11-13 All referenced text strings 













QQ482A27 | > FF7S R8 PUSH DWORD PTR SS:tEBP-581 
08492R28 | . 68 DClD4888 |PUSH Tut Reue.0040100C UNICODE "I'mlenalS1” 
. ES _ 16eE7FFFF |CRLL 《JMF.&MSUBUMSB。  vbaStrCmp? 
» F7D8 NEG EAX 
. 18C9 SBB ERX,ERX 
. 8040 AS LER ECX, DWORD PTR. SS: LEBP-581 
. F708 NEG ER 
8D | . FrD8 NEG ERI 
98482R3F | . 8985 48FFFFFF | HOU DWORD PTR SStLEBP-BB1,ERX 
Qa4gzHat | . EB EEEGFFFF — |CRLL CJFP.SHISUBUPSO. - bal reeStro 
28482R4R | . SD4D A4 CX,DUORD PTR SSTIEBP A 
Ə9492n4n | . ES EGEGFFFF EN < MP, &HSUBUNSO.  ubaFreeObj» 
GO4nzne2 | .  66:838D 48FFFF| CHP WORD PTR S9:LEBP-B81,0 
Boag2RER | .v QF94 Eraogooa E Tut. Reve, 004025647 i 


8D95 74FFFFFF | LER ED, ED PTR SS:Il 
8D4D A A ECX, DIIDRD 


R SS: [l 






0402068 





Feed &HSUBUMSO " cy 
| Du 
'TEBP-9C] 














: 8D95 74FFFFFF |LER EDX, DWORD PTR SST 
` 8040 DC LER ECX,DMORD PTR SS:LEBP-241 
» C785 7CFFFFFF | HOU DWORO PTR SS:[EBP-841, 16 
. 8990 ?4FFFFFF | HOU DUGRD PTR SS:[EBP-8C1, 
Eel . ES8 86E! T CALE «JMP. &HS! .— VbaUarttove» 
04282ARD . 74F| FF | LER EDX, DWORD 
G3482AR6 | ` CC LER ECX, DWORD PTR SS: FEBP-34] 
99489. n . C785 7CFFFFFF |MOU DWORD PTR SS: LEBP-84], Tut Reve. 00401EBS UNICODE "RegCode is wrong?” 
90402 . C?85 74FFFFFF | HOU DWORD PTR SS: [EBP-8C1, S 





图 11-14 402A69 地 址 处 的 代码 


看 图 中 代码 ,402A2A 地 址 处 有 “T mlenal51” 字 符 串 ， 其 下 方 的 402A2F 地 址 处 是 “vbaStrCmp0 
函数 调用 代码 。__vbaStrCmp() API 是 VB 中 比较 字符 串 的 函数 ， 在 本 例 中 用 于 比较 用 户 输入 的 字 
IRE “P mlenal51” 字 符 串 。 出 乎 意料 的 是 很 容易 就 发 现 了 它 。 向 上 略微 拖 动 滚动 条 。 

输入 正确 的 注册 码 后 ， 图 11-15 中 的 代码 用 于 弹出 成 功 消息 框 。(“Yep! You succeeded 
registering !” ) 


PUSH Tut Reue,Q8401DDC UNICODE "I'mlenai51" 
GP SSUBUMSG.—vbaSt eCmp> 


1BFF SBB EDI,EDI 
EDI 


F7DF NEG EDI 
E8 60ESFFFF |CALL XJMP.&IHSUBUMSO. ybaFresStr> 
8040 R4 LEA EC x, DUORG PTR SS:TEBP-5C 

EB SeESFFFF |CALL < JE. vB’ CBFreenbj> 


66: 3BFE SI 
QF84 _F3009998 |. Tut Reve.B64929DC ene 


6n es 

8095 74FFFFFF | LER EDX, DWORD PTR SS:[EBP-BC1 
5E POP ESI 8812F4EC 
8D4D RC LER ECX, DWORD PTR SS: TEBP-S4] 

C785 ?EFFFFFF | HOU DWORD PTR SS: [EBP-S4 DU LReve.00401E88 | UNICODE "Yep ? Vou succeeded re: 
89B5 74FFFFFF | HOU DWORD PTR SS:tEBP-BC 

ES e2ESFFFF CALL <JMP. &HSUBUMSO., vecr 


6R 83 PUSH š 
8D95 74FFFFFF |LER EDX, DUORD PTR SS: [EBP-8C1 
SB P EBX 9012F4EC 
8D4D DC LER ECX PIR SSiLEBP-241 
C785 ZCFFFFFF | HOU Duok PIR SS: [EBP B4], l 

a 899D ?4FFFFFF | MOU DWORD PTR SS: LEBP-SC], 
EB FBEZEFFF . |DRLL <M. AMISUBUTSD.. rebar Hove» 


8D9S ?4FFFFFF A EDX, PTR 
8040 CC LEA ECX, DWORD PTR SS: [i 341 
C785 ZCFFFFFF | HOU DWORD PTR SS: 1, gt- Reve. 00401E50 | UNICODE "Congratz ttt” 


LEBP-84 
SoB5 74FFFFFF | HOU DWORD PTR SS: LEBP-8C1],ESI 
E8 ESETFFFF CALL (JMP.&HSUBUMSO. — obaUarCops? 








6R en PUSH OA 

8045 84 LER EAX, DWORD PTR SS:tEBP-7CJ 

5E POP ESI : 8812F4EC 
BF 04000280 MOU EDI, s8326684 

se PUSH ERX 

8D45 94 LER ERX, DWORD PTR SS:[EBP-6C] 

56 PUSH ERX 

8D45 CC LER EAX, DWORD PTR SS:LEBP-347 

56 PUSH ERX 

8045 DC LER ERX, DWORD PTR SS: LEBP-241 

5a PUSH EAX 

8970 8C MOU DWORD PTR ESITEPE- 41,EDI 

8975 84 MOU DWORD PTR SS: = 人] ESI 

897D 9C Hen DWORD PTR SS:fEBP-641, EDI 

8975 94 U DWORD PTR S8: LEBP-6CI,ESI 

ES RSE7FFFF eR E &MSUBUMSAB.. ubal4Uar? 

aois AC LER ERK, “DWORD PTR SS: [EBP~54] 

ES R4E7FFFF CALL <JMP. &MSUBUMSA, #595> <= rtoMsgBoxí) 











图 11-15 弹出 成 功 消息 框 的 代码 
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地 址 4028BD 处 也 存在 “Tmlenal151” 字 符 串 ， 其 下 即 是 _ vbaStrCmpeRZX. dikur E TE 
册 码 就 是 “T mlenal51” 字 符 串 。 
如 图 11-16 所 示 ， 成 功 找到 正确 注册 码 。 


C partl0TutReverseMe 

| Program From | 

Use SmartCheck to reg! 
Kill begin/start nags ! | 


Regcode : fimlena151 
ps 
[pec 





























E sea 


图 11-16 成 功 消 息 框 





11.3 “小 结 


本 示例 中 的 crackme 用 作 练 习 程 序 ， 破 解 起 来 相当 简单 。 各 位 可 以 访问 前 面 介绍 的 
www.tuts4you.com 网 站 ,观看 程序 原作 者 lena 的 视频 讲解 , 这 对 了 解 整 个 程序 非常 有 帮助 。 此 外 ， 
每 个 人 分 析 程 序 的 方法 各 不 相同 , 大 家 可 以 多 学 习 别 人 是 如 何 分 析 程 序 的 , 这 对 提高 自身 的 逆向 
分 析 水 平 非常 有 用 。 


Q. 图 11-8 中 要 跳 转 的 地 址 显示 为 红色 ， 这 是 如 何 做 到 的 呢 ? 


A. 在 OllyDbg 的 CPU 选项 卡 中 点 选 Showjump path, Show grayed path if jump is not taken, Show 
jumps to selected commands Pp >J , 





第 12 章 “究竟 应 当 如 何尝 习 代码 
3 [8] 43 FT 


经 常 有 人 问 :“ 怎 么 开始 学 代码 逆向 分 析 啊 ?” 帮 帮 有 我 吧 !” 我 开 博 客 、 写 技术 类 书籍 都 是 为 了 
尽 自己 绵薄 之 力 ， 帮 助 大 家 提高 代码 的 逆向 分 析 水 平 , 并 广泛 传播 逆向 分 析 技 术 。 这 些 若 能 给 代 
码 逆向 技术 的 初学 者 们 带 来 一 点 帮助 ， 我 就 再 无 他 求 了 。 那么 , 到底 如 何 才 能 学 好 代码 逆向 分 析 
技术 呢 ? 下 面 我 与 各 位 分 享 自己 的 一 点 心得 。 


12.1 逆向 工程 


12.1.1 任何 学 习 都 应 当 有 目标 


自己 需要 有 一 个 明确 的 目标 , 如 “为 了 成 为 逆向 技术 专家 ”、“ 为 了 就 业 "、“ 感 兴趣 ”"、“ 想 成 
为 黑客 ”等 。 若 无 这 样 的 明确 目标 ， 很 难 坚持 学 下 去 (半途而废 的 可 能 性 很 大 )。 并 且 ， 目 标 也 
能 给 大 家 指明 方向 。 希 望 各 位 跟着 自己 的 目标 ,一 步 步 地 往 前 走 。 


12.1.2. 拥有 积极 心态 


有 些 人 有 时 会 有 一 些 误解 与 偏见 。 

口 “我 不 懂 C 语言 …… 能 学 代码 逆向 分 析 吗 ? ”一 当然 能 。 

口 “我 没 接触 过 汇编 ， 就 不 能 学 代码 逆向 分 析 了 吧 ? ”一 谁 说 的 ? 能 学 好 啊 ! 

口 “ 我 一 点 儿 也 不 懂 Windows 的 结构 …… 也 能 学 代码 逆向 分 析 吗 ? ”一 能 学 得 很 好 的 。 

类 似 上 面 这 些 “ 我 不 懂 XXX”、“ 我 没 接触 过 XXX” 的 话 对 开始 学 习 代 码 逆向 分 析 技 术 毫 无 
AOL. HEX, 这些 话 会 让 人 产生 恺 惯 、 失 去 挑战 的 意识 。 也 就 是 说 ,这 些 否 定 的 话语 会 让 各 位 还 
未 尝试 就 放弃 了 。 和 希望 各 位 多 做 正 向 思考 :“ 因 为 不 懂 XXX 才 想 学 啊 !” 

要 学 的 内 容 超过 数 十 种 , 可 一 个 代码 逆向 技术 初学 者 从 一 开始 就 要 把 这 些 内 容 全 都 学 会 吗 ? 
那 将 是 十 分 困难 的 ,并 且 还 非常 容易 让 人 厌倦 。 每 次 遇 到 新 的 内 容 都 不 要 妄想 全 部 解决 ， 先 默 记 
在 心里 ， 继 续 往 前 学 习 才 是 最 重要 的 。 在 反复 学 习 的 过 程 中 逐一 把 握 即 可 。 

比如 ， 经 过 几 次 调试 后 自然 就 会 明白 “XOR EAX,EAX” 的 含义 了 。 初 次 接触 会 有 些 陌 生 ， 
也 很 有 意思 。 但 如 果 看 过 100 次 ， 就 会 理所当然 地 接受 它 。 看 到 具有 类 似 含义 的 “MOV EAX,0” 
指令 反而 感到 奇怪 ， 会 想 :“ 为 什么 不 用 XOR EAX, EAXUE? 也 太 不 专业 了 吧 ? ” 


12.1.3 ”要 感受 其 中 的 乐趣 


越 是 初学 者 ， 越 要 从 代码 逆向 分 析 的 学 习 中 寻找 乐趣 。 若 只 觉得 难 、 烦 ， 那 如 何 继续 呢 ? 应 
当 去 发 现代 码 逆向 分 析 的 乐趣 ， 逐 一 学 习 不 懂 之 处 ,下定 决心 在 为 程序 “ 打 补 丁 ” 的 过 程 中 获得 
乐趣 。 如 果 人 们 对 一 件 事 感 兴趣 ， 无 论 别 人 怎么 阻拦 都 会 坚持 。 
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12.1.4 ”让 检索 成 为 日 常生 活 的 一 部 分 


“检索 便 知 九 成 。” 

我 在 某 处 看 到 这 句 名 言 就 铭记 在 心 。 我 们 学 习 逆 向 技术 的 过 程 中 , 常常 要 通过 大 量 检索 去 掌 
握 各 种 知识 。 代 码 逆 向 技术 历史 短 、 相 关 专 家 少 ,也 几乎 没有 参考 书 。 希望 各 位 先 相 信 并 习惯 使 
用 检索 ， 一定 能 查找 到 想 要 的 内 容 。 


124.5 ”最 重要 的 是 实践 


“Just Do it.” : 

这 是 谁 都 明白 的 一 句 话 。 若 要 下 定 决心 做 成 某 事 ， 一 定 要 有 所 行动 ,而 且 是 马上 行动 。 请 先 
跟着 本 书 从 头 学 起 , 起初 当然 一 点 也 不 懂 , 会 对 一 切 都 感到 陌生 ( 特别 是 汇编 指令 看 上 去 真 像 火 
星 文 )。 

第 一 个 目标 是 使 用 调试 器 查找 main() 函 数 。 为 了 熟悉 调试 器 ， 先 要 逐一 学 习 它 的 菜单 ， 随 意 
尝试 跟踪 ( 使 用 Step In(F7)、Step Out(F8) 指 令 )。 逐渐 有 了 感觉 ， 最 后 查找 main() 函 数 。 同 时 确认 
C 源 代码 与 反 汇编 代码 的 区 别 。 好 的 开始 是 成 功 的 一 半 ! 然后 查找 简单 的 crackme、patchme、 
unpackme 等 程序 分 析 学 习 。 起 初 先 修改 一 下 常见 的 日 记 本 、 计 算 器 等 (非常 简单 ,做 到 限制 假设 
功能 的 程度 就 行 )， 然 后 再 逐渐 扩大 对 象 范围 。 


12.1.6 ”请 保持 平和 的 心态 


代码 逆向 分 析 技术 的 初学 者 最 容易 犯 的 毛病 是 急躁 .总 想 快速 出 成 果 , 结果 学 习 却 不 见 起 色 ， 
技术 水 平原 地 踏步 。 自 己 究竟 还 有 多 少 不 懂 、 能 不 能 顺利 进行 下 去 ， 这 都 让 人 一 头 雾 水 、 心 烦 不 
已 。 汇 编 、Windows 内 部 结构 、PE 文 件 格式 、API 钩 取 等 都 不 是 易学 的 内 容 ， 仅 汇编 一 项 就 学 无 
止境 。 此 时 心 浮 气 躁 就 很 容易 放弃 目标 。 

事实 上 ， 像 我 这 样 的 逆向 分 析 人 员 也 无 法 100% 地 掌握 汇编 指令 并 灵活 运用 。 虽 然 有 极 少 数 
人 会 用 汇编 语言 编写 程序 ， 但 其 实 大 部 分 人 是 不 会 的 。 即 便 如 此 ， 仍 然 能 学 好 代码 逆向 分 析 。 

不 懂 指 令 就 查 , 运用 这 种 方法 可 以 分 析 、 了 解 应 用 程序 的 行为 动作 。 坚 持 使 用 这 种 方式 学 习 
几 年 , 相信 那个 时 候 会 比 现在 做 得 更 好 。 重要 的 是 , 我 以 及 认识 的 逆向 分 析 人 员 刚 开始 的 时 候 ( 同 
各 位 一 样 ) 条 件 都 差不多 。 经 过 不 懈 努 力 ， 技 术 水 平 自然 会 得 到 一 定 提 高 。 切 鼠 急躁 ! 

还 等 什么 ? 马上 开始 吧 ! 一 定 会 有 显著 效果 的 。 各 位 可 能 想 知道 是 什么 让 我 这 样 充满 信心 ， 
因为 我 见 过 了 许多 这 样 成 功 的 例子 。 维护 博客 过 程 中 收 到 了 许多 人 的 感谢 信 , 阅读 并 了 解 其 中 的 
故事 后 ， 我 受到 的 感动 就 像 一 股 电流 洋溢 全 身 。 

a 以 代码 逆向 分 析 为 主题 进行 了 大 学 毕业 设计 ， 被 选 为 学 院 最 优秀 作品 。 

a 在 公司 产品 的 开发 项 目 中 使 用 “ 钩 取 ”( hooking ) 技术 ， 很 轻松 地 完成 了 项 目 。 

口 因 对 代码 逆向 分 析 感 兴趣 ， 获 得 了 XX 软件 会 员 资格 。 

口 在 大 学 的 兴趣 小 组 中 成 功 完成 逆向 分 析 项 目 (文件 加 密 )。 


这 些 人 全 都 是 代码 逆向 分 析 技 术 的 初学 者 ， 他 们 和 凭借 自己 饱满 的 热情 、 不 懈 的 努力 与 钻研 ， 
获得 了 巨大 成 就 。 因 此 我 可 以 肯定 地 说 ,各 位 也 一 定 能 行 。 学 习 过 程 中 遇 到 不 懂 的 内 容 了 吗 ? 请 
善 用 搜索 、 提 问 。 我 也 喜欢 倾听 各 位 的 不 同 想法 ， 一 起 思考 学 习 。 

来 ， 现 在 就 行动 起 来 吧 ! 





第 13 章 ”PE 文件 格式 


本 章 将 详细 讲解 Windows 操 作 系 统 的 PE (Portable Executable ) 文件 格式 相关 知识 。 学 习 PE 
文件 格式 的 过 程 中 ， 也 一 起 整理 一 下 有 关 进 程 、 内 存 、DLL 等 的 内 容 ， 它 们 是 Windows 操 作 系 统 
最 核心 的 部 分 。 


13.1 介绍 


PE 文件 是 Windows 操 作 系 统 下 使 用 的 可 执行 文件 格式 。 它 是 微软 在 UNIX 平 台 的 COFF 
( Common Object File Format， 通 用 对 象 文件 格式 ) 基础 上 制作 而 成 的 。 最 初 (正如 Portable 这 个 
单词 所 代表 的 那样 ) 设计 用 来 提高 程序 在 不 同 操作 系统 上 的 移植 性 , 但 实际 上 这 种 文件 格式 仅 用 
在 Windows 系 列 的 操作 系统 下 。 

PE 文件 是 指 32 位 的 可 执行 文件 ， 也 称 为 PE32。64 位 的 可 执行 文件 称 为 PE+ 或 PE32+， 是 PE 
( PE32 ) 文件 的 一 种 扩展 形式 ( 请 注意 不 是 PE64 )。 


13.2 ”PE 文件 格式 


PE 文件 种 类 如 表 13-1 所 示 。 
表 13-1 PE 文件 种 类 





种 类 主 扩展 名 种 类 主 扩展 名 
可 执行 系列 EXE. SCR 驱动 程序 系列 SYS, VXD 
库 系列 DLL, OCX, CPL, DRV 对 象 文件 系列 OBJ 


严格 地 说 ，OBJ (对象 ) 文件 之 外 的 所 有 文件 都 是 可 执行 的 。DLL 、SYS 文 件 等 虽然 不 能 直 
接 在 Shell ( Explorer.exe ) 中 运行 ,但 可 以 使 用 其 他 方法 ( 调试 器 、 服 务 等 ) 执行 。 

提示 一 
根据 PE 正式 规范 ,编译 结果 OBJ 文 件 也 视 为 PE 文件。 但 是 OBJ 文 件 本 身 不 能 以 
任何 形式 执行 ， 在 代码 逆向 分 析 中 几乎 不 需要 关注 它 。 


下 面 以 记事 本 (notepad.exe ) 程序 进行 简单 说 明 ， 首 先 使 用 Hex Editor 打 开 记 事 本 程序 。 

图 13-1 是 notepad.exe 文 件 的 起 始 部 分 ， 也 是 PE 文件 的 头 部 分 (PE header )。notepad.exe 文 件 
运行 需要 的 所 有 信息 就 存储 在 这 个 PE 头 中 。 如 何 加 载 到 内 存 、 从 何 处 开始 运行 、 运 行 中 需要 的 
DLL 有 哪些 、 需 要 多 大 的 栈 / 堆 内 存 等 ， 大 量 信息 以 结构 体形 式 存 储 在 PE 头 中 。 换 言 之 ， 学 习 PE 
文件 格式 就 是 学 习 PE 头 中 的 结构 体 。 

提示 一 
书 中 将 以 Windows XP SP3 的 notepad.exe 为 例 进行 说 明 ， 与 其 他 版 本 Windows F 
的 notepad.exe 文件 结构 类 似 ， 但 是 地 址 不 同 。 
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EW HxD - [cWWINDOWSWNOTEPAD.EXE] 
f A File Edit Search View Analysis Extras Window ? 
ie l d die dir. — @| ANSI s hex 
A NOTEPAD.EXE | 
ÜfFset(h) 88 81 82 83 88 
80808008 E 08 B 85 
88880018 BS 88 68 00 B 48 
88880028 $88 88 88 86 B8 
80800038 388 680 68 00 B8 
80888848 HE 1F BA BE 2t š 
860888050 69 73 28 78 61 D is program canno 
888880868 28 62 65 28 t be run in DOS 
808860878 6F 65 B 24 PS 
88888888 85 5B AS l-E i 356 350 350 
88888896 EB 3A 6B ké:oa5okeuoDasó 
80886808 EB 68 a8 kéhó»a5ó 3nóca5ó 





80088086 EB óB 6B kékoDa5okejó i56 
808808€ 6 EB 6F 52 
00060808 890 08 98 


e88888EG [50 H 87 
888888F 6 , 58 O 9B 
8688801068 80 9D 
600880118 060 08 18 

86888128 81 

88880138 81 

88888148 B 85 

66888156 Ü 88 

6008888168 88 

68088178 88 

80888180 Ba 

86688801980 88 88 88 

88880188 88 868 88 88 00 R8 18 88 48 
0086890189 6 68 00 DO 00 OO 00 08 10 00 008 48 03 60 Ə 





图 13-1 notepad.exe X fF 


13.2.4 基本 结构 


notepad.exe 具 有 普通 PE 文件 的 基本 结构 ,图 13-2 描 述 了 notepad.exe 文 件 加 载 到 内 存 时 的 情形 。 
其 中 包含 了 许多 内 容 ， 下 面 逐一 学 习 。 

ADOS. ( DOS header ) 到 节 区 头 ( Section header ) 是 PE 头 部 分 ， 其 下 的 节 区 合 称 PE 体 。 文 
件 中 使 用 偏 移 ( offset )， 内 存 中 使 用 VA (Virtual Address， 虚 拟 地 址 ) 来 表示 位 置 。 文 件 加 载 到 
内 存 时 ， 情 况 就 会 发 生变 化 〈 节 区 的 大 小 、 位 置 等 )。 文 件 的 内 容 一 般 可 分 为 代码 ( .text )、 数 据 
( data )、 资 源 (.rsrc) 节 ， 分 别 保 存 。 

提示 — 一 
根据 所 用 的 不 同 开 发 工具 (VB/VC++/Delphi/etc ) 与 编译 选项 , 节 区 的 名 称 、 大 小 、 
个 数 、 存 储 的 内 容 等 都 是 不 同 的 。 最 重要 的 是 它们 按照 不 同 的 用 途 分 类 保存 到 不 同 的 
节 中 。 


各 节 区 头 定 义 了 各 节 区 在 文件 或 内 存 中 的 大 小 、 位 置 、 属 性 等 。 

PE 头 与 各 节 区 的 尾部 存在 一 个 区 域 ， 称 为 NULL 填 充 (NULL padding )。 计 算 机 中 ， 为 了 提 
高 处 理 文件 、 内 存 、 网 络 包 的 效率 ， 使 用 “最 小 基本 单位 ”这 一 概念 ，PE 文 件 中 也 类 似 。 文 件 / 
内 存 中 节 区 的 起 始 位 置 应 该 在 各 文件 /内 存 最 小 单位 的 倍数 位 置 上 , 空白 区 域 将 用 NULL 填 充 (看 
图 13-2， 可 以 看 到 各 节 区 起 始 地 址 的 截断 都 遵循 一 定 规则 )。 
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< 文件 > < 内 存 > 
文件 偏 移 地 址 
00000000 01000000 
DOS% 
00000040 DOS 存 根 01000040 


000000E0 010000E0 


NT 头 


1Di Es » 1000108 
durs BEC text) P 


00000200 01000200 


35E€ 3 (". data") 
TxXXCrstc) 


00000228 01000228 






00000400 


TP X ("text") 


NULL — 
00007C00 
节 区 ("data”) 


00008400 01009000 


8400 p 市 区 ("data") 





NULL gs 


00010800 01008000 


节 区 ( rsrc) 


NULL 
01014000 


图 13-2 ”PE 文件 ( notepad.exe ) 加 载 到 内 存 中 的 情形 





13.2.2. VA&RVA 


VA 指 的 是 进程 虚拟 内 存 的 绝对 地 址 ，RVA (Relative Virtual Address， 相 对 虚拟 地 址 ) 指 从 某 

个 基准 位 置 (ImageBase ) 开始 的 相对 地 址 。VA 与 RVA 满 足下 面 的 换算 关系 。 
RVA+ImageBase=VA 

PE 头 内 部 信息 大 多 以 RVA 形 式 存 在 。 原 因 在 于 ，PE 文 件 ( 主要 是 DLL ) 加 载 到 进程 虚拟 内 
存 的 特定 位 置 时 , 该 位 置 可 能 已 经 加 载 了 其 他 PE 文件 (DLL )。 此 时 必须 通过 重 定位 (Relocation ) 
将 其 加 载 到 其 他 空白 的 位 置 ， 若 PE 头 信息 使 用 的 是 YA ， 则 无 法 正常 访问 。 因 此 使 用 RVA 来 定位 
BAL, 即使 发 生 了 重 定位 , 只 要 相对 于 基准 位 置 的 相对 地 址 没有 变化 , 就 能 正常 访问 到 指定 信息 ， 
不 会 出 现任 何 问题 。 

MES. = —— ——— = =Əs 
32 位 Windows OS 中 ,各 进程 分 配 有 AGB 的 虚拟 内 存 , 因此 进程 中 VA 值 的 范围 是 
00000000-FFFFFFFF., 





13.3 PE £ 


PE 头 由 许多 结构 体 组 成 , 现在 开始 逐一 学 习 各 结构 体 。 此 外 还 会 详细 讲解 在 代码 逆向 分 析 中 
起 着 重要 作用 的 结构 体 成 员 。 
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13.3.1 DOS Z+ 


微软 创建 PE 文件 格式 时 ， 人 们 正 广泛 使 用 DOS 文 件 ， 所 以 微软 充分 考虑 了 PE 文件 对 DOS 文 
件 的 兼容 性 。 其 结果 是 在 PE 头 的 最 前 面 添加 了 一 个 IMAGE _ DOS_HEADER 结 构 体 ， 用 来 扩展 已 
有 的 DOS EXE 头 。 





代码 13-1 IMAGE_DOS_HEADER 结 构 体 


typedef struct IMAGE DOS HEADER í 
WORD e magic; // DOS signature : 4D5A ("MZ") 
WORD e cblp; 
WORD e cp; 


WORD e crlc; 
WORD e cparhdr; 
WORD e minalloc; 
WORD e maxalloc; 


WORD e ss; 
WORD e sp; 
WORD e csum; 
WORD e ip; 
WORD e cs; 


WORD e lfarlc; 

WORD e ovno; 

WORD e res[4]; 

WORD e oemid; 

WORD e oeminfo; 

WORD e res2[10]; 

LONG e lfanew; // offset to NT header 

IMAGE DOS HEADER, *PIMAGE DOS HEADER; 出 处 ; Microsoft Platform SDK - winnt.h 


IMAGE DOS_HEADER 结 构 体 的 大 小 为 40 个 字 节 。 在 该 结构 体 中 必须 知道 ?个 重要 成 员 : 
e_magic 与 e lfanew。 


w 


e magic: DOS £ ( signature, 4D5SA=>ASCIHš "MZ" ). 
e lfanew: 指示 NT 头 的 偏 移 (根据 不 同文 件 拥有 可 变 值 )。 
所 有 PE 文件 在 开始 部 分 (e magic) 都 有 DOS 签 名 (“MZ”)。e_lfanew 值 指向 NT 头 所 在 位 置 
(NT 头 的 名 称 为 IMAGE NT_HEADERS， 后 面 将 会 介绍 )- 
l| c ns Ü 
一 个 名 叫 Mark Zbikowski 的 开发 人 员 在 微软 设计 了 DOS 可 执行 文件 ，MZ FP B 
其 名 字 的 首 字 母 。 出 处 : http://en.wikipedia.org/wiki/Mark. Zbikowski 





使 用 Hex Editor 打 开 notepad.exe， 查 看 IMAGE DOS_HEADERS 结 构 体 ， 如 图 13-3 所 示 。 


Oüffset(h) 82 03 84 85 06 607 88 89 GA ƏB GC OD GE 
68888800 98 08 03 68 08 HƏ 84 88 08 00 FF FF 8G 


88088816 08 00 008 00 OG O8 50 OG 60 60 88 00 HA 
680606828 806 60 80 OG OG 86 80 OG OO 66 O8 68 G8 
88888838 808 00 OO OÐ OG 00 80 OG 00 60 EG 08 88 








图 13-3 IMAGE DOS HEADERS 
根据 PE 规范 ， 文 件 开始 的 2 个 字 节 为 4D5A，e_lfanew 值 为 000000E0 ( 不 是 E0000000 ). 
提示 

Intel 系列 的 CPU 以 逆序 存储 数据 ， 这 称 为 小 端 序 标识 法 。 
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请 尝试 修改 这 些 值 , 保存 后 运行 。 可 以 发 现 程 序 无 法 正常 运行 ( 因为 根据 PE 规范 , 它 已 不 再 
是 PE 文件 了 )。 
13.3.2 DOS 存根 


DOS 存 根 ( stub ) 在 DOS 头 下 方 ， 是 个 可 选项 ， 且 大 小 不 固定 (即使 没有 DOS 存 根 ， 文 件 也 
能 正常 运行 ) DOS 存 根 由 代码 与 数据 混合 而 成 ， 图 13-4 显 示 的 就 是 notepad.exe 的 DOS 存 根 。 








000008058 HE 1F BA DE 88 Bh 09 CD 21 B8 01 4C CD 21 54 68 ..2. .[* .LÍítTh 
08680050 69 73 28 78 72 6F 67 72 61 6D 28 63 61 6E 6E óF is program canno 
08800860 74 20 62 65 28 72 75 6E 20 69 6E 20 44 4F 53 20 t be run in DOS 

9880806078 óD óF 64 65 2E 8D 8D GA 24 88 DD OG OG 00 88 00 nmode....$....... 
900088080 EC 85 5B A1 R8 E4 35 F2 R8 E4 35 F2 A8 E4 35 F2 |- [j 350 355 350 
80000098 óB EB 3A F2 A9 E4 35 F2 6B EB 55 F2 A9 En 35 F2 ké:oDa5okeUcDa5ó 
08080880 ÖB EB 68 F2 BB E4 35 F2 A8 Eh 34 F2 63 Eh 35 F2 këhò»ä5ò a3hócá5ó 
00080888 6B EB 6B F2 R9 E4 35 F2 óB EB 6A F2 BF E^ 35 F2 këkóDa5Okëjó A5O 
8088088C0 óB EB óF F2 A9 E4 35 F2 52 69 63 68 A8 Eh 35 F2 keooga5oRich 356 
80806006 ON HOO ON OO OG OO OO OO OG HO OO OO 860 00 08 OB ................. 











图 13-4 DOS 存 根 
图 13-4 中 , 文件 偏 移 40~4D 区 域 为 16 位 的 汇编 指令 .32 位 的 Windows OS 中 不 会 运行 该 命令 ( 由 
于 被 识别 为 PE 文件 ， 所 以 完全 忽视 该 代码 )。 在 DOS 环 境 中 运行 Notepad.exe 文 件 ， 或 者 使 用 DOS 
调试 着 (debug.exe ) 运行 它 ， 可 使 其 执行 该 代码 (不 认识 PE 文件 格式 ， 所 以 被 识别 为 DOS EXE 
文件 )。 
打开 命令 行 窗口 ( cmd.exe )， 输 入 如 下 命令 ( 仅 适 用 于 Windows XP 环境 ), 


debug C:\Windows\notepad.exe 
在 出 现 的 光标 位 置 上 输入 “u” 指 令 〈Unassemble )， 将 会 出 现 16 位 的 汇编 指令 ， 如 下 所 示 。 


-u 

0D1E:0000 OE PUSH CS 

0D1E:0001 1F POP DS 

0D1E:0002 BAOEO0 MOV DX,000E ; DX = 0E : "This program cannot be 
run in DOS mode" ; 

O0D1E:0005 B409 MOV AH,09 

0D1E:0007 CD21 INT 21 ; AH = 09 : WriteString() 

0D1E:0009 B8014C MOV AX,4C01 

ODIE:000C CD21 INT 21 ; AX = 4C01 : Exit() 


代码 非常 简单 ， 在 画面 中 输出 字符 串 “This program cannot be run in DOS mode” 后 就 退出 。 
换言之 ，notepad.exe 文 件 虽 然 是 32 位 的 PE 文件 ， 但 是 带 有 MS-DOS 兼 容 模式 ， 可 以 在 DOS 环 境 中 
运行 ， 执 行 DOS EXE 代 码 ， 输 出 “This program cannot be run in DOS mode” 后 终止 。 灵 活 使 用 该 
特性 可 以 在 一 个 可 执行 文件 (EXE) 中 创建 出 男 一 个 文件 ， 它 在 DOS 与 Windows 中 都 能 运行 (在 
DOS 环 境 中 运行 16 位 DOS 人 代码， 在 Windows 环 境 中 运行 32 位 Windows 代 码 ), 

如 前 所 述 ，DOS 存 根 是 可 选项 ， 开 发 工具 应 该 支持 它 ( VB、VC++、Delphi 等 默认 支持 DOS 
存根 )。 


13.8.8 NT X: 


下 面 介绍 NT 头 IMAGE NT HEADERS, 


133 PEX 95 


代码 13-2 IMAGE NT_HEADERS 结 构 体 


typedef struct IMAGE NT HEADERS { 
DWORD Signature; // PE Signature : 50450000 ("PE"90) 
IMAGE FILE HEADER FileHeader; 
IMAGE OPTIONAL HEADER32 OptionalHeader; 

) IMAGE NT HEADERS32, *PIMAGE NT HEADERS32; Hi&h. Microsoft Platform SDK - winnt.h 


IMAGE NT_HEADERS 结 构 体 由 3 个 成 员 组 成 ， 第 一 个 成 员 为 签名 (Signature) 结构 体 ， 其 
值 为 50450000h(“PE”00 ) 另外 两 个 成 员 分别 为 文件 头 ( File Header ) 与 可 选 头 ( Optional Header ) 
结构 体 。 使 用 Hex Editor 打 开 notepad.exe， 查 看 其 IMAGE NT_HEADERS， 如 图 13-5 所 示 。 


696696EB [560 45 
0686086F9 
8000081088 
0000811806 
88888128 
08808130 
08888158 
88880158 
988800166 
90808170 
88808186 
88880198 
88888188 
986800188 
8088081C8 
088801D6 





图 13-5 IMAGE NT HEADERS 


IMAGE NT_HEADERS 结 构 体 的 大 小 为 F8， 相 当 大 。 下 面 分 别 讲解 文件 头 与 可 选 头 结构 体 。 


13.34 NT X: 文件 头 


文件 头 是 表现 文件 大 致 属性 的 IMAGE FILE HEADER 结 构 体 。 


typedef struct IMAGE FILE HEADER í 
WORD Machine; 
WORD NumberOfSections; 
DWORD — TimeDateStamp; 
DWORD . PointerToSymbolTable; 
DWORD  |NumberOfSymbols; 
WORD SizeOfOptionalHeader; 
WORD Characteristics; 
) IMAGE FILE HEADER, *PIMAGE FILE HEADER; 出 处 : Microsoft Platform SDK - winnt.h 


IMAGE FILE HEADERS 结 构 体 中 有 如 下 4 种 重要 成 员 ( 车 它们 设置 不 正确 ， 将 导致 文件 无 
法 正常 运行 )。 

#1. Machine 

每 个 CPU 都 拥有 唯一 的 Machine 码 ， 兼 容 32 位 Intel x86 芯 片 的 Machine 码 为 14C。 以 下 是 定义 
在 winnt.h 文 件 中 的 Machine 码 。 


代码 13-4 Machine 码 ; 


zdefine IMAGE FILE MACHINE UNKNOWN 0 


#define IMAGE FILE MACHINE 1386 0x014c // Intel 386. 

fdefine IMAGE FILE MACHINE R3000 0x0162 // MIPS little-endian, 0x160 big-endian 
#define IMAGE FILE MACHINE R4000 0x0166 // MIPS little-endian 

#define IMAGE FILE MACHINE R10000 0x0168 // MIPS little-endian 


#define IMAGE FILE MACHINE WCEMIPSV2 0x0169 // MIPS little-endian WCE v2 
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#define IMAGE FILE MACHINE ALPHA 0x0184 // Alpha AXP 

define IMAGE FILE MACHINE POWERPC 0x01FO0 // IBM PowerPC Little-Endian 
#define IMAGE FILE MACHINE SH3 0x01a2 // SH3 little-endian 
#define IMAGE FILE MACHINE SH3E 0x01a4 // SH3E little-endian 
#define IMAGE FILE MACHINE SH4 0x01a6 // SH4 little-endian 
#define IMAGE FILE MACHINE ARM 0x01cO // ARM Little-Endian 
Xdefine IMAGE FILE MACHINE THUMB 0x01c2 

define IMAGE FILE MACHINE IA64 0x0200 // Intel 64 

#define IMAGE FILE MACHINE MIPS16 0x0266 // MIPS 

#define IMAGE FILE MACHINE MIPSFPU 0x0366 // MIPS 

#define IMAGE FILE MACHINE MIPSFPU16 0x0466 // MIPS 

#define IMAGE_FILE MACHINE ALPHA64 0x0284 // ALPHA64 

#define IMAGE FILE MACHINE AXP64 IMAGE FILE MACHINE ALPHA64 


出 处 ，Microsoft Platform SDK - winnt.h 


#2. NumberOfSections 

前 面 提 到 过 ，PE 文 件 把 代码 、 数 据 、 资 源 等 依据 属性 分 类 到 各 节 区 中 存储 。 

ED ne 定 要 大 于 0， 且 当 定 义 的 节 区 数 
量 与 实际 节 区 不 同时 ， 将 发 生 运行 错误 。 

E Pase up ador 

IMAGE NT_HEADER 结 构 体 的 最 后 一 个 成 员 为 IMAGE OPTIONAL HEADER32 结 构 体 。 
SizeOfOptionalHeader 成 员 用 来 指出 IMAGE OPTIONAL HEADER32 结 构 体 的 长 度 。IMAGE ` 
OPTIONAL_HEADER32 结 构 体 由 C 语 言 编写 而 成 ， 故 其 大 小 已 经 确定 。 但 是 Windows 的 PE 装载 
器 需要 查看 IMAGE FILE HEADER 的 SizeOfOptionalHeader 值 ,从 而 识别 出 IMAGE OPTIONAL - 
HEADER32 结 构 体 的 大 小 。 

PE32+ 格 式 的 文件 中 使 用 的 是 IMAGE OPTIONAL HEADER64 结 构 体 ， 而 不 是 IMAGE _ 
OPTIONAL_HEADER32 结 构 体 。2 个 结构 体 的 尺寸 是 不 同 的 ， 所 以 需要 在 SizeOfDptionalHeader 
成 员 中 明确 指出 结构 体 的 大 小 。 





借助 IMAGE DOS HEADER 的 e lfanew 成 员 与 IMAGE FILE HEADER 的 
SizeOfOptionalHeader 成 员 ， 可 以 创建 出 一 种 脱离 常规 的 PE 文件 (PE Patch ) (也 有 人 
称 之 为 “麻花 ”PE 文件 )。 





#4. Characteristics 

该 字段 用 于 标识 文件 的 属性 ， 文 件 是 否 是 可 运行 的 形态 、 是 否 为 DLL 文件 等 信息 ， 以 bit OR 
形式 组 合 起 来 。 

以 下 是 定义 在 winnt.h 文 件 中 的 Characteristics 值 (请 记 住 0002h 与 2000h 这 两 个 值 )。 





























0x0001 // Relocation info stripped from file. 











FILE. 

#define IMAGE FILE . EXECUTABLE ` IMAGE 0x0002 // File is executable 

// (i.e. no unresolved externel 

references). 

define IMAGE FILE LINE NUMS STRIPPED 0x0004 // Line numbers stripped from file. 
define IMAGE FILE LOCAL SYMS STRIPPED 0x0008 // Local symbols stripped from file. 
#define IMAGE FILE AGGRESIVE WS TRIM 0x0010 // Agressively trim working set 
#define IMAGE FILE LARGE ADDRESS AWARE 0x0020 // App can handle »2gb addresses 
#define IMAGE FILE BYTES REVERSED LO 0x0080 // byte of machine word are reversed. 
define IMAGE FILE 32BIT MACHINE 0x0100 // 32 bit word machine. 


#define IMAGE FILE DEBUG STRIPPED °  0x0200 // Debugging info stripped from 


#define IMAGE FILE REMOVABLE RUN FROM SWAP 


#define IMAGE FILE NET RUN FROM SWAP 





#define IMAGE FILE SYSTEM 
#define IMAGE FILE DLL 
#define IMAGE FILE UP SYSTEM ONLY 





#define IMAGE FILE BYTES REVERSED HI 


0x0400 
0x0800 
0x1000 
0x2000 
0x4000 


0x8000 
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file in .DBG file 

If Image is on removable media, 
copy and run from the swap file. 
If Image is on Net, 

copy and run from the swap file. 
System File. 

File is a DLL. 

File should only be 

run on a UP machine 

byte of machine word are reversed. 


ti 4h. Microsoft Platform SDK- winnt.h 


另外 ，PE 文 件 中 Characteristics 的 值 有 可 能 不 是 0002h 吗 (不 可 执行 ) ? 是 的 ， 确 实 存在 这 种 
情况 。 比 如 类 似 *.obj 的 object 文 件 及 resource DLL 文件 等 。 

最 后 讲 一 下 IMAGE FILE HEADER 的 TimeDateStamp 成 员 。 该 成 员 的 值 不 影响 文件 运行 , 用 
来 记录 编译 器 创建 此 文件 的 时 间 。 但 是 有 些 开 发 工具 (VB, VCH ) 提供 了 设置 该 值 的 工具 ， 而 
有 些 开发 工具 (Delphi) 则 未 提供 ( 且 随 所 用 选项 的 不 同 而 不 同 )。 


IMAGE FILE HEADER 


在 Hex Editor 中 查看 notepad.exe 的 IMAGE FILE HEADER 结 构 体 。 


| 87 52 H2 A8 MO BG GO | 





8B 01 07 OA 00 78 60 68 








图 13-6 IMAGE FILE HEADER 


为 使 大 家 理解 图 13-6， 以 结构 体 成 员 的 形式 表示 如 下 。 


[ IMAGE FILE HEADER ] - notepad.exe 


offset value | description 


000000E4 014C machine 
000000E6 0003 number of sections 


000000E8 48025287 time date stamp (Mon Apr 14 03:35:51 2008) 


000000EC 00000000 offset to symbol table 
000000F0 00000000 number of symbols 
000000F4 00E0 size of optional header 
000000F6 010F characteristics 


IMAGE FILE RELOCS STRIPPED 
IMAGE FILE EXECUTABLE IMAGE 
IMAGE FILE LINE NUMS STRIPPED 


IMAGE FILE LOCAL SYMS STRIPPED 


IMAGE FILE 32BIT MACHINE 


13.3.5 NT 头 : 可 选 头 


IMAGE OPTIONAL _ HEADER32 是 PE 头 结构 体 中 最 大 的 。 


代码 13-6 IMAGE OPTIONAL HEADER32 结 构 体 i | i i 


typedef struct IMAGE DATA DIRECTORY í 
DWORD — VirtualAddress; 
DWORD Size; 


) IMAGE DATA DIRECTORY, *PIMAGE DATA DIRECTORY; 


#define IMAGE NUMBEROF DIRECTORY ENTRIES 


typedef struct IMAGE OPTIONAL HEADER ( 


16 
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WORD Magic; 

BYTE MajorLinkerVersion; 

BYTE MinorLinkerVersion; 

DWORD | SizeOfCode; 

DWORD | SizeOfInitializedData; 

DWORD | SizeOfUninitializedData; 

DWORD |. AddressOfEntryPoint; 

DWORD | BaseOfCode; 

DWORD . Base0fData; 

DWORD | ImageBase; 

DWORD | SectionAlignment; 

DWORD | FileAlignment; 

WORD MajorOperatingSystemVersion; 

WORD MinorOperatingSystemVersion; 

WORD MajorImageVersion; 

WORD MinorlImageVersion; 

WORD MajorSubsystemVersion; 

WORD MinorSubsystemVersion; 

DWORD | Win32VersionValue; 

DWORD SizeOflmage; 

DWORD | SizeOfHeaders; 

DWORD | CheckSum; 

WORD Subsystem; 

WORD DllCharacteristics; 

DWORD | SizeOfStackReserve; 

DWORD | SizeOfStackCommit; 

DWORD | SizeOfHeapReserve; 

DWORD | SizeOfHeapCommit; 

DWORD . LoaderFlags; 

DWORD | NumberOfRvaAndSizes; 

IMAGE DATA DIRECTORY DataDirectory[IMAGE NUMBEROF DIRECTORY ENTRIES]; 
) IMAGE OPTIONAL HEADER32, *PIMAGE OPTIONAL HEADER32; 出 处 :Microsoft Platform SDK - winnt.h 


TEIMAGE OPTIONAL_HEADER32 结 构 体 中 需要 关注 下 列 成 员 。 这 些 值 是 文件 运行 必需 的 ， 
设置 错误 将 导致 文件 无 法 正常 运行 。 

#1. Magic 

为 IMAGE _ OPTIONAL_HEADER32 结 构 体 时 ，Magic 码 为 10B ; 为 IMAGE OPTIONAL _ 
HEADER64 结 构 体 时 ，Magic 码 为 20B。 

#2. AddressOfEntryPoint 

AddressOfEntryPoint 持 有 EP 的 RVA 值 。 该 值 指出 程序 最 先 执行 的 代码 起 始 地 址 ， 相 当 重 要 。 

#3. ImageBase 

进程 虚拟 内 存 的 范围 是 0~FFFFFFFF ( 32 位 系统 )。PE 文 件 被 加 载 到 如 此 大 的 内 存 中 时 ， 
ImageBase 指 出 文件 的 优先 装 入 地 址 。 

EXE. 、DLL 文 件 被 装载 到 用 户 内 存 的 0~7FFFFFFF 中 ，SYS 文 件 被 载 人 内 核 内 存 的 
80000000~FFFFFFFF 中 。 一 般 而 言 ， 使 用 开发 工具 ( VB/VC++/Delphi ) 创建 好 EXE 文 件 后 ， 其 
ImageBase 的 值 为 00400000，DLIL 文 件 的 ImageBase 值 为 10000000 ( 当然 也 可 以 指定 为 其 他 值 )。 
执行 PE 文件 时 ，PE 装 载 器 先 创 建 进程 ， 再 将 文件 载 人 内 存 ， 然 后 把 EIP 寄 存 器 的 值 设置 为 
ImageBasetAddressOfEntryPoint。 

#4. SectionAlignment, FileAlignment 

PE 文件 的 Body 部 分 划分 为 若干 节 区 , 这 些 节 存储 着 不 同类 别 的 数据 。FileAlignment 指 定 了 节 
区 在 磁盘 文件 中 的 最 小 单位 ， 而 SectionAlignment 则 指定 了 节 区 在 内 存 中 的 最 小 单位 (一 个 文件 
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中 ，FileAlignment 与 SectionAlignment 的 值 可 能 相同 ， 也 可 能 不 同 )。 磁 盘 文件 或 内 存 的 节 区 大 小 
必定 为 FileAlignment 或 SectionAlignment 值 的 整数 倍 。 

#5. SizeOflmage 

加 载 PE 文 件 到 内 存 时 ，SizeOfImage 指 定 了 PE Image 在 虚拟 内 存 中 所 占 空 间 的 大 小 。 一 般 而 
T. 文件 的 大 小 与 加 载 到 内 存 中 的 大 小 是 不 同 的 ( 节 区 头 中 定义 了 各 节 装 载 的 位 置 与 占有 内 存 的 
大 小 ， 后 面 会 讲 到 )。 

#6. SizeOfHeader 

SizeOfHeader 用 来 指出 整个 PE 头 的 大 小 。 该 值 也 必须 是 FileAlignment 的 整数 倍 。 第 一 节 区 所 
在 位 置 与 SizeOfHeader 距 文件 开始 偏 移 的 量 相 同 。 

#7. Subsystem 

该 Subsystem 值 用 来 区 分 系统 驱动 文件 (*.sys ) 与 普通 的 可 执行 文件 ( *.exe, *.dll ) Subsystem 


成 员 可 拥有 的 值 如 表 13-2 所 示 。 
表 13-2 Subsystem 


值 &* x 备 j 
l Driver 文 件 系统 驱动 (An: ntfs.sys) 
2 GUI 文件 窗口 应 用 程序 (如 : notepad.exe) 
3 CUIX ft 控制 台 应 用 程序 (如 : cmd.exe) 


#8. NumberOfRvaAndSizes 
NumberOfRvaAndSizes 用 来 指定 DataDirectory( IMAGE OPTIONAL_HEADER32 结 构 体 的 最 


后 一 个 成 员 ) 数组 的 个 数 。 虽 然 结构 体 定 义 中 明确 指出 了 数组 个 数 为 IMAGE_ NUMBEROF 
DIRECTORY _ENTRIES(16)， 但 是 PE 装载 器 通过 查看 NumberOfRvaAndSizes 值 来 识别 数组 大 小 ， 
换言之 ， 数 组 大 小 也 可 能 不 是 16。 

#9. DataDirectory 

DataDirectory 是 由 IMAGE DATA _DIRECTORY 结 构 体 组 成 的 数组 ， 数 组 的 每 项 都 有 被 定义 
的 值 。 代 码 13-7 列 出 了 各 数组 项 。 


代码 13-7” DataDirectory 结 构 体 数组 


DataDirectory[0] = EXPORT Directory 
DataDirectory[1] = IMPORT Directory 
DataDirectory[2] = RESOURCE Directory 
DataDirectory[3] = EXCEPTION Directory 
DataDirectory[4] = SECURITY Directory 
DataDirectory[5] = BASERELOC Directory 
DataDirectory[6] = DEBUG Directory 
DataDirectory[7] = COPYRIGHT Directory 
DataDirectory[8] = GLOBALPTR Directory 
DataDirectory[9] = TLS Directory 
DataDirectory[A] = LOAD CONFIG Directory 
DataDirectory[B] = BOUND_IMPORT Directory 
DataDirectory[C] = IAT Directory 
DataDirectory[D] = DELAY IMPORT Directory 
DataDirectory[E] = COM DESCRIPTOR Directory 
DataDirectory[F] = Reserved Directory 


将 此 处 所 说 的 Directory 想 成 某 个 结构 体 数组 即 可 。 和 希望 各 位 重点 关注 标 红 的 EXPORT/ 
IMPORT/RESOURCE, TLS Direction。 特 别 需 要 注意 的 是 IMPORT 与 EXPORT Directory， 它 们 是 
PE 头 中 非常 重要 的 部 分 ， 后 面 会 单独 讲解 。 其 余部 分 不 怎么 重要 ， 大 致 了 解 一 下 即 可 。 
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IMAGE OPTIONAL HEADER 
前 面 简 要 介绍 了 重要 成 员 组 。 现 在 查看 notepad.exe 的 IMAGE OPTIONAL HEADER 整个 结构 体 。 














9969999F69 OO 00 99 O8 EO 08 OF 01 E 81 87 GR F 
00000100 [Ba 8C 08 80 GU Dü BH 05 9D 73 BG GU G 

00000118 HƏ 98 O8 HƏ HA üG BB 61 HG 10 O8 DB Q 
00000120 85 88 81 00 85 88 D1 G6 Dh GG GY 99 ! 
00800138 GƏ 48 HI 08 BO Gh GO GG CE 26 01 BA 
00000140 I88 89 Bh GO OB 10 01 pü Bü HB 18 G8 
00000150 |88 68 BD BD 10 0D OO UG OG DO GO AD 
08006160 4 76 GÖ B6 CB 98 BB GO OH BO DD BU 
08080170 GÖ 0G OB 98 DU Dü BO 69 GO H0 GO BO D 
80000188 HƏ dB BO GG GG 96 BB OP SB 13 00 BB 1 
80000190 HƏ Bü GV HP BO 08 GB OU GO UB Dü OH 

80000100 (HA 800 86 G0 98 88 BO HG AB 18 gü OB 
00800180 59 B2 BO Gü DB HA BG OG GB 10 OB BB 48 
00000100 Gö G8 BH dO GB G6 fg BO OB BG AG OH 
00000108 HÖ 06 08 80 BD GG 8G Gd 2E 74 65 78 


























医 13-7  notepad.exeli]IMAGE OPTIONAL HEADER 


图 13-7 中 ，Hex Editor ( HxD ) 描述 的 是 notepad.exe 的 IMAGE OPTIONAL HEADER 结 构 体 
区 域 。 结 构 体 各 成 员 的 值 及 其 说 明 如 代码 13-8 所 示 。 


notepad exe 交 人生 的 |MA OPTIONA ADER 

















offset value description 


000090F8 010B magic 
000000FA 07 major linker version 
000000FB 9A minor linker version 


000000FC 00007800 size of code 

00000100 00008C00 size of initialized data 
00000104 00000000 size of uninitialized data 
00000108 0000739D address of entry point 
0000010C 00001000 base of code 

00000110 00009000 base of data 

00000114 01000000 image base 

00000118 00001000 section alignment 

0000011C 00000200 file alignment 


00000120 0005 major OS version 
00000122 0001 minor OS version 
00000124 0005 major image version 
00000126 0001 minor image version 
00000128 0004 major subsystem version 
0000012A 0000 minor subsystem version 


0000012C 00000000 win32 version value 
00000130 00014000 size of image 

00000134 00000400 size of headers 

00000138 000126CE Checksum 

0000013C 0002 subsystem 

0000913E 8000 DLL characteristics 
00000140 00040000 size of stack reserve 
00000144 00011000 size of stack commit 
00000148 00100000 size of heap reserve 
0000014C 00001000 size of heap commit 
00000150 00000000 loader flags 

00000154 00000010 number of directories 
00000158 00000000 RVA of EXPORT Directory 
0000015C 00000000 size of EXPORT Directory 
00000160 00007604 RVA of IMPORT Directory 
00000164 000000C8 size of IMPORT Directory 
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00000168 0000B000 RVA of RESOURCE Directory 
0000016C 00008304 size of RESOURCE Directory 
00000170 00000000 RVA of EXCEPTION Directory 
00000174 00000000 size of EXCEPTION Directory 
00000178 00000000 RVA of SECURITY Directory 
0000017C 00000000 size of SECURITY Directory 
00000180 00000000 RVA of BASERELOC Directory 
00000184 00000000 size of BASERELOC Directory 
00000188 00001350 RVA of DEBUG Directory 
0000018C 0000001C size of DEBUG Directory 
00000199 00000000 RVA of COPYRIGHT Directory 
00000194 00000000 size of COPYRIGHT Directory 
00000198 00000000 RVA of GLOBALPTR Directory 
0000019C 00000000 size of GLOBALPTR Directory 
000001A0 00000000 RVA of TLS Directory 

000001A4 00000000 size of TLS Directory 

000001A8 000018A8 RVA of LOAD CONFIG Directory 
000001AC 00000040 size of LOAD CONFIG Directory 
000001B0 00000250 RVA of BOUND IMPORT Directory 
000001B4 000000D0 size of BOUND IMPORT Directory 
000001B8 00001000 RVA of IAT Directory 

000001BC 00000348 size of IAT Directory 

000001CO 00000000 RVA of DELAY IMPORT Directory 
000001C4 00000000 size of DELAY IMPORT Directory 
000001C8 00000000 RVA of COM DESCRIPTOR Directory 
000001CC 00000000 size of COM DESCRIPTOR Directory 
000001D0 00000000 RVA of Reserved Directory 
000001D4 00000000 size of Reserved Directory 


13.3.6 PEA 


节 区 头 中 定义 了 各 节 区 属性 。 看 节 区 头 之 前 先 思 考 一 下 : 前 面 提 到 过 ，PE 文 件 中 的 code( 代 
码 )、data ( 数据 )、resource ( 资源 ) 等 按照 属性 分 类 存储 在 不 同 节 区 ， 设 计 PE 文件 格式 的 工程 
师 们 之 所 以 这 样 做 ， 一 定 有 着 某 些 好 处 。 

我 认为 把 PE 文件 创建 成 多 个 节 区 结构 的 好 处 是 , 这 样 可 以 保证 程序 的 安全 性 。 若 把 code 与 data 
放 在 一 个 节 区 中 相互 纠缠 ( 实际 上 完全 可 以 这 样 做 ) 很 容易 引发 安全 问题 ， 即 使 忽略 过 程 的 烦琐 。 

假如 向 字符 串 data 写 数据 时 ,由 于 某 个 原因 导致 溢出 (输入 超过 缓冲 区 大 小 时 ), 那么 其 下 的 
code ( 指令 ) 就 会 被 覆盖 ,应 用 程序 就 会 月 演 。 因 此 ，PE 文 件 格 式 的 设计 者 们 决定 把 具有 相似 属 
性 的 数据 统一 保存 在 一 个 被 称 为 “ 节 区 ”的 地 方 ， 然 后 需要 把 各 节 区 属性 记录 在 节 区 头 中 ( 节 区 
属性 中 有 文件 /内 存 的 起 始 位 置 、 大 小 、 访 问 权 限 等 )。 

换言之 ， 需 要 为 每 个 code/data/resource 分 别 设置 不 同 的 特性 、 访 问 权 限 等 ， 如 表 13-3 所 示 。 


表 13-3 不同 内 存 属性 的 访问 权限 


类 别 访问 权限 
code ~ ”执行 ， 读 取 权 限 
data 非 执 行 ， 读 写 权限 
resource 非 执 行 ， 读 取 权 限 


至 此 ， 大 家 应 当 对 节 区 头 的 作用 有 了 大 致 了 解 。 
IMAGE SECTION HEADER 
节 区 头 是 由 IMAGE SECTION_HEADER 结 构 体 组 成 的 数组 ， 每 个 结构 体 对 应 一 个 节 区 。 
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代码 13-9 IMAGE SECTION HEADER 结 构 体 : 


#define IMAGE SIZEOF SHORT NAME 8 


typedef struct IMAGE SECTION HEADER { 
BYTE Name[IMAGE SIZEOF SHORT NAME]; 
union í 
DWORD — PhysicalAddress; 
DWORD — VirtualSize; 
) Misc; 
DWORD X VirtualAddress; 
DWORD . SizeOfRawData; 
DWORD . PointerToRawData; 
DWORD . PointerToRelocations; 
DWORD . PointerToLinenumbers; 
WORD NumberOfRelocations; 
WORD NumberOfLinenumbers; 
DWORD Characteristics; 
) IMAGE SECTION HEADER, *PIMAGE SECTION HEADER; 


表 13-4 中 列 出 了 IMAGE SECTION _HEADER 结 构 体 中 要 了 解 的 重要 成 员 ( 不 使 用 其 他 成 员 )。 
表 13-4 IMAGE_SECTION_HEADER 结 构 体 的 重要 成 员 
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项 目 * X 
VirtualSize 内 存 中 节 区 所 占 大 小 
VirtualAddress 内 存 中 节 区 起 始 地址 (RVA) 
SizeOfRawData 磁盘 文件 中 节 区 所 占 大 小 
PointerToRawData 磁盘 文件 中 节 区 起 始 位 置 


Charateristics 


节 区 属性 (bit OR) 


VirtualAddress 与 PointerToRawData 不 带 有 任何 值 ， 分 别 由 (定义 在 IMAGE OPTIONAL - 
HEADER32 中 的 ) SectionAlignment 与 FileAlignment 和 确定。 
VirtualSize 与 SizeOfRawData 一 般 具 有 不 同 的 值 , 即 磁 盘 文 件 中 节 区 的 大 小 与 加 载 到 内 存 中 的 


节 区 大 小 是 不 同 的 。 


Characterisitics 由 代码 13-10 中 显示 的 值 组 合 (bit OR ) 而 成 。 


代码 13-10 Characterisitics 


#define IMAGE SCN CNT CODE 0x00000020 // Section 
contains code. 
0x00000040 // Section contains 
initialized data. 
#define IMAGE SCN CNT UNINITIALIZED DATA 0x00000080 // Section contains 
uninitialized data. 
0x20000000 // Section is 


#define IMAGE SCN CNT INITIALIZED DATA 


#define IMAGE SCN MEM EXECUTE 


executable. 
#define IMAGE SCN MEM READ 0x40000000 // Section is 

readable. 
#define IMAGE SCN MEM WRITE 9x80000000 // Section is 

writable. 


出 处 Microsoft Platform SDK- winnt.h 


最 后 谈 谈 Name 字 段 。 Name 成 员 不 像 C 语 言 中 的 字符 串 一 样 以 NULL 结 束 , 并 且 没 有 “必须 使 
用 ASCII 值 ”的 限制 。 PE 规范 未 明确 规定 节 区 的 Name， 所 以 可 以 向 其 中 放 入 任何 值 , 甚至 可 以 填 
充 NULL 值 。 所 以 节 区 的 Name 仅 供 参 考 , 不 能 保证 其 百分之百 地 被 用 作 某 种 信息 (数据 节 区 的 名 
称 也 可 叫做 .code )。 
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下 面 看 一 下 notepad.exe 的 节 区 头 数组 (共有 3 个 节 区 )， 如 图 13-8 所 示 。 





图 13-8 ”notepad.exe 的 IMAGE SECTION HEADER 结 构 体 数组 


接着 看 一 下 各 结构 体 成 员 ， 如 代码 13-11 所 示 。 


代码 13-11 notepad.exe 的 IMAGE SECTION HEADER 结 构 体 数组 的 实际 值 
[ IMAGE SECTION HEADER ] 





offset value description 

000001D8 2E746578 Name (.text) 

000001DC 74000000 

000001E0 00007748 virtual size 

000001E4 00001000 RVA 

000001E8 00007800 size of raw data 

000001EC 00000400 offset to raw data 

000001F0 00000000 offset to relocations 

000001F4 00000000 offset to line numbers 

000001F8 0000 number of relocations 

000001FA 0000 number of line numbers 

000001FC 60000020 characteristics 
IMAGE SCN CNT CODE 
IMAGE SCN MEM EXECUTE 
IMAGE SCN MEM READ 


00000200 2E646174 Name (.data) 
09000204 61000000 
00000208 00001BA8 virtual size 
0000020C 00009000 RVA 
00000210 00000800 size of raw data 
00000214 00007C00 offset to raw data 
00000218 00000000 offset to relocations 
0000021C 00000000 offset to line numbers 
00000220 0000 number of relocations 
00000222 0000 number of line numbers 
00000224 C0000040 characteristics 
IMAGE SCN CNT INITIALIZED DATA 
IMAGE SCN MEM READ 
IMAGE SCN MEM WRITE 


00000228 2b727372 Name (.rsrc) 
0000022C 63000000 
00000230 00908304 virtual size 
00000234 0000B000 RVA 
00000238 00008400 size of raw data 
0000023C 00008400 offset to raw data 
00000240 00000000 offset to relocations 
00000244 00000000 offset to line numbers 
00000248 0000 number of relocations 
0000024A 0000 number of line numbers 
0000024C 40000040 characteristics 
IMAGE SCN CNT INITIALIZED DATA 
IMAGE SCN MEM READ 


104 第 13 章 PE 文件 格式 








提示 

讲解 PE 文件 时 经 常 出 现 “ 映 像 ”( Image ) 这 一 术语 ， 斋 望 各 位 牢记 。PE 文件 加 
载 到 内 存 时 ， 文 件 不 会 原封 不 动 地 加 载 ， 而 要 根据 节 区 头 中 定义 的 节 区 起 始 地 址 、 节 
区 大 小 等 加 载 。 因 此 ， 磁 盘 文 件 中 的 PE 与 内 存 中 的 PE 具有 不 同形 态 。 将 装载 到 内 存 
中 的 形态 称 为 “映像 ”以 示 区 别 ， 使 用 这 一 术语 能 够 很 好 地 区 分 二 者 。 








13.4 RVA to RAW 


理解 了 节 区 头 后 ， 下 面 继续 讲解 有 关 PE 文 件 从 磁盘 到 内 存 映 射 的 内 容 。PE 文 件 加 载 到 内 存 
时 ， 每 个 节 区 都 要 能 准确 完成 内 存 地址 与 文件 偏 移 间 的 映射 。 这 种 映射 一 般 称 为 RVA to RAW, 
方法 如 下 。 l 

(1) 查找 RVA 所 在 节 区 。 

(2) 使 用 简单 的 公式 计算 文件 偏 移 (RAW )。 

根据 IMAGE _ SECTION_HEADER 结 构 体 ， 换 算 公 式 如 下 : 


RAW - PointerToRawData = RVA - VirtualAddress 
RAW = RVA - VirtualAddress + PointerToRawData 


Quiz 

简单 做 个 测试 练习 。 图 13-9 描 绘 的 是 notepad.exe 的 文件 与 内 存 间 的 映射 关系 。 请 分 别 计算 各 
个 RVA (将 计算 器 calc.exe 切 换 到 Hex 模 式 计算 会 比较 方便 )。 
< 文件 > < 内 存 > 


文件 偏 移 
01000000 


00000000 


DOS: DOSX 


00000040 DOS 存 根 DOSAR 01000040 


000000E0 010000E0 


NTA 
000001D8 010001D8 
00000200 01000200 
00000228 01000228 
00000400 


Ü| 01001000 
35 [X (^ text") 
00007coo BENERESEEEE 


00008400 01009000 


节 区 (rsrc) W (" data”) 





00010800 0100B000 


3 X C. rere) 








01014000 


图 13-9 ”notepad.exe 的 文件 与 内 存 间 的 映射 
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Q1. RVA=5000B$, File Offset=? 
A1. 首先 查找 RVA 值 所 在 节 区 。 
一 RVA 5000 位 于 第 一 个 节 区 C text ) ( 假设 ImageBase 为 01000000 )。 
使 用 公式 换算 如 下 : 
— RAW=5000(RVA)-1000(VirtualAddress)+400(PointerToRawData)=4400 


Q2. RVA=13314 时 ，File Offset=? 
A2. 查找 RVA 值 所 在 节 区 。 
> RVA 13314 位 于 第 三 个 节 区 ( .rsrc )。 
使 用 公式 换算 如 下 : 
— RAW=13314(RVA)—-B000(VA)+8400(PointerToRawData)=10714 


Q3. RVA-ABAS8H], File Offset=? 
A3. 查找 RVA 值 所 在 节 区 。 

一 RVAABA8 位 于 第 二 个 节 区 ( .data )。 

使 用 公式 换算 如 下 : 

— RAW-ABAS(RVA)-9000(VA )-7C00(PointerToRawData)-97A8( x ) 

一 计算 结果 为 RAW=97A8， 但 是 该 偏 移 在 第 三 个 节 区 ( .rsrc )。RVA 在 第 二 个 节 区 ， 
而 RAW 在 第 三 个 节 区 , 这 显然 是 错误 的 。 该 情况 表明 “无 法 定义 与 RVA ( ABA8) 
相对 应 的 RAW 值 ”。 出 现 以 上 情况 的 原因 在 于 ， 第 二 个 节 区 的 VirtualSize 值 要 比 
SizeOfRawData 值 大 。 


提示 一 一 
RVA 5 RAW (文件 偏 移 ) 间 的 相互 变换 是 PE 头 的 最 基本 的 内 容 ， 各 位 一 定 要 熟 
悉 并 掌握 它们 之 间 的 转换 关系 。 





像 Q3 一 样 ，PE 文 件 节 区 中 国 VirtualSize 与 SizeOfRawData 值 彼此 不 同 而 引起 的 奇怪 、 有 趣 的 
事 还 有 很 多 ( 后 面 会 陆续 讲 到 )。 

以 上 就 是 对 PE 头 基 本 结构 体 的 介绍 ， 接 下 来 将 继续 学 习 PE 头 的 核心 内 容 一 一 IAT ( Import 
Address Table， 导 入 地 址 表 ) 与 EAT ( Export Address Table， 导 出 地 址 表 )。 


13.5 IAT 


刚 开 始 学 习 PE 头 时 ， 最 难过 的 一 关 就 是 IAT (Import Address Table， 导 和 地址 表 )。IAT 保 存 
的 内 容 与 Windows 操 作 系 统 的 核心 进程 、 内 存 、DLL 结 构 等 有 关 。 换 句 话 说， 只 要 理解 了 IAT， 
就 掌握 了 Windows 操 作 系 统 的 根基 。 简 言 之 ，LIAT 是 一 种 表格 ， 用 来 记录 程序 正在 使 用 哪些 库 中 
的 哪些 函数 。 


13.5.1 DLL 


讲解 IAT 前 先 学 习 一 下 有 关 DLL (Dynamic Linked Library ) 的 知识 〈 知 其 所 以 然 ， 才 更 易 理 
解 )， 它 支撑 起 了 整 座 Windows OS 大 厦 。DLL 翻 译 成 中 文 为 “动态 链接 库 ”， 为 何 这 样 称呼 呢 ? 
16 位 的 DOS 时 代 不 存在 DLL 这 一 概念 , RA “E” (Library ) 一 说 。 比如 在 C 语 言 中 使 用 printf0 
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函数 时 ， 编 译 器 会 先 从 C 库 中 读 取 相应 函数 的 二 进 制 代码 ， 然 后 插入 包含 到 ) 应 用 程序 。 也 就 
是 说 ， 可 执行 文件 中 包含 着 printf0 函 数 的 二 进 制 代码 。Windows 0OS 支 持 多 任务 ， 若 仍 采用 这 种 
包含 库 的 方式 ， 会 非常 没有 效率 。Windows 操 作 系统 使 用 了 数量 庞大 的 库 函 数 ( 进程 、 内 存 、 窗 
口 、 消 息 等 ) 来 支持 32 位 的 Windows 环 境 。 同 时 运行 多 个 程序 时 ， 若 仍 像 以 前 一 样 每 个 程序 运行 
时 都 包含 相同 的 库 , 将 造成 严重 的 内 存 浪费 ( 当然 磁盘 空间 的 浪费 也 不 容 小 舰 )。 因此 ,Windows 
OS 设计 者 们 根据 需要 引入 了 DLL 这 一 概念 ， 描 述 如 下 。 

口 不 要 把 库 包 含 到 程序 中 ， 单 独 组 成 DLL 文件 ， 需 要 时 调用 即 可 。 

口 内 存 映射 技术 使 加 载 后 的 DLL 代码 、 资 源 在 多 个 进程 中 实现 共享 。 

口 更 新 库 时 只 要 替换 相关 DLL 文件 即 可 ， 简 便 易 行 。 

加 载 DLL 的 方式 实际 有 两 种 : 一 种 是 “ 显 式 链接 ”( Explicit Linking ), 程序 使 用 DLL 时 加 载 ， 
使 用 完毕 后 释放 内 存 ; 男 一 种 是 “ 隐 式 链接 ”( Implicit Linking )， 程 序 开始 时 即 一 同 加 载 DLL， 
程序 终止 时 再 释放 占用 的 内 存 。IAT 提 供 的 机 制 即 与 隐 式 链接 有 关 。 下 面 使 用 OllyDbg 打 开 
notepad.exe 来 查看 ILAT。 图 13-10 是 调用 CreateFileW() 函 数 的 代码 ， 该 函数 位 于 kernel32.dll 中 。 


0100826SC |. 5? PUSH EDI hTemplsteFile = 70340206 



















01082530 58 20a0Hoga PUSH šQ Astributes = NORMAL 
0108982642 6 3 PUSH 3 Mode = OPEN EXISTING 
U1082644||. 57 PUSH EDI pSeourity = ntdil.7C940206 
mieoa2ea5||. 6R Bi Sharettode = FILE_SHRRE_RERD 
0819092647]. 69 secencca PUSH saaaoanao RHocess = GENERIC RERD 

8085 F4FDFFFF | LER EAX, DWORD PTR SS:LEBP-20Cl 








5a aad ERX Filehame = NULL 


x CHP ERX. -1 





AE 7CS1a7F0 ikern REF 






OTOBIIOP| ?CS 
Bl1BBTIBC| 7C80' rne CurrentProcessId 
91601116| "CGORE3O| kerne 132. GetProoRddress 
81881114| 7C817813| kerne L32. GetCommandL inell 
0810091113] 7C818FC2| kernel32. lstrcatl 


图 13-10 ”调用 CreateFileW0 函 数 的 代码 


调用 CreateFileW0 函 数 时 并 非 直接 调用 , 而 是 通过 获取 01001104 地 址 处 的 值 来 实现 ( 所 有 API 
调用 均 采 用 这 种 方式 )。 

地 址 01001104 是 notepad.exe 中 .text 节 区 的 内 存 区 域 ( 更 确切 地 说 是 IAT 内 存 区 域 )。01001104 
地 址 的 值 为 7C8107F0， 而 7C8107F0 地 址 即 是 加 载 到 notepad.exe 进 程 内 存 中 的 CreateFileWO 函 数 
(位 于 kernel32.dll 库 中 ) 的 地 址 。 此 处 产生 一 个 疑问 。 


“直接 使 用 CALL 7C8107F0 指 令 调 用 函数 不 是 更 好 、 更 方便 吗 ? ” 


甚至 还 会 有 人 问 :“ 编 译 器 直接 写 CALL 7C8107F0 不 是 更 准确 、 更 好 吗 ? ”这 是 前 面 说 过 的 
DOS 时 代 的 方式 。 

事实 上 ，notepad.exe 程 序 的 制作 者 编译 (生成 ) 程序 时 ， 并 不 知道 该 notepad.exe 程 序 要 运行 
在 哪 种 Windows ( 9X、2K、XP、Vista、7 )、 哪 种 语言 ( ENG、JPN 、KOR 等 )、 哪 种 服务 包 ( Service 
Pack) 下 。 上 面 列举 出 的 所 有 环境 中 , kernel32.dll 的 版 本 各 不 相同 ，CreateFileW0 函 数 的 位 置 (地 
AE) 也 不 相同 。 为 了 确保 在 所 有 环境 中 都 能 正常 调用 CreateFileW0 函 数 ， 编 译 器 准备 了 要 保存 
CreateFileW0 函 数 实际 地 址 的 位 置 (01001104 )， 并 仅 记 下 CALL DWORD PTR DS:[1004404] 形 式 
的 指令 。 执 行文 件 时 ，PE 装 载 器 将 CreateFileWO 函 数 的 地 址 写 到 01001104 位 置 。 

编译 器 不 使 用 CALL 7C8107F0 语 句 的 另 一 个 原因 在 于 DLL 重 定位 。DLL 文 件 的 ImageBase 值 
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一 般 为 10000000。 比 如 某 个 程序 使 用 a.dll 与 b.dll 时 ，PE 装 载 器 先 把 a.dll 装 载 到 内 存 的 10000000 
(ImageBase ) 处 ， 然 后 尝试 把 b.dll 也 装载 到 该 处 。 但 是 由 于 该 地 址 处 已 经 装载 了 a.dll， 所 以 PE 装 
载 器 查找 其 他 空白 的 内 存 空间 ( ex:3E000000 )， 然 后 将 b.dll 装 载 进 去 。 

这 就 是 所 谓 的 DLL 重 定位 ， 它 使 我 们 无 法 对 实际 地 址 硬 编码 。 另 一 个 原因 在 于 ,PE 头 中 表示 
地 址 时 不 使 用 VA， 而 是 RVA。 

提示 一 
实际 操作 中 无 法 保证 DLL 一 定 会 被 加 载 到 PE 头 内 指定 的 InageBase 处 。 但 是 EXE 
文件 (生成 进程 的 主体 ) 却 能 准确 加 载 到 自身 的 ImageBase 中 ， 因 为 它 拥 有 自己 的 虚 
拟 空间 。 





PE 头 的 IAT 是 代码 北向 分 析 的 核心 内 容 。 希 望 各 位 好 好 理解 它 。 相 信 大 家 现在 已 经 能 够 掌握 
IAT 的 作用 了 (后 面 讲 解 IAT 结 构 为 什么 如 此 复杂 时 ,希望 各 位 也 能 很 快 了 解 )。 


13.5.2 IMAGE IMPORT DESCRIPTOR 


IMAGE IMPORT DESCRIPTOR 结 构 体 中 记录 着 PE 文件 要 导入 哪些 库 文件 。 
提示 

e Import: 导入 ， 向 库 提供 服务 ( 函数 )。 

€ Export: 导出 ， 从 库 向 其 他 PE 文件 提供 服务 (函数 )。 


IMAGE IMPORT _DESCRIPTOR 结 构 体 如 代码 13-12 所 示 。 


typedef struct IMAGE IMPORT DESCRIPTOR { 
union í 
DWORD Characteristics; 
DWORD X OriginalFirstThunk; // INT(Import Name Table) address 


(RVA) 

1; 

DWORD TimeDateStamp; 

DWORD ForwarderChain; 

DWORD Name; // library name string address (RVA) 

DWORD FirstThunk; // IAT(Import Address Table) address (RVA) 
} IMAGE IMPORT DESCRIPTOR; 
typedef struct IMAGE IMPORT BY NAME { 

WORD Hint; // ordinal 

BYTE Name[1] ; // function name string 
) IMAGE IMPORT BY NAME, *PIMAGE IMPORT BY NAME; Hát: Microsoft Platform SDK - winnt.h 


执行 一 个 普通 程序 时 往往 需要 导入 多 个 库 ， 导 和 多少 库 就 存在 多 少 个 IMAGE IMPORT 
_DESCRIPTOR 结 构 体 ， 这 些 结构 体形 成 了 数组 ， 且 结构 体 数 组 最 后 以 NULL 结 构 体 结束 。 
IMAGE IMPORT DESCRIPTOR 中 的 重要 成 员 如 表 13-5 所 示 (拥有 全 部 RVA 值 )。 


表 13-5 IMAGE_IMPORT_DESCRIPTOR 结 构 体 的 重要 成 员 


项 目 含 x 
OriginalFirstThunk INT 的 地 址 (RVA) 
Name 库 名 称 字符 串 的 地 址 (RVA) 


FirstThunk IAT 的 地 址 (RVA) 
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提示 
e PE 头 中 提 到 的 “Table” 即 指数 组 。 
e INT 与 IAT 是 长 整 型 (4 个 字 节 数据 类 型 ) 数组 ,以 NULL 结 束 (未 另外 明确 指出 
大 小 )。 
e INT 中 各 元 素 的 值 为 IMAGE IMPORT BY_NAME 结 构 体 指 针 ( 有 时 IAT 也 拥有 
相同 的 值 )。 
e INT 与 IAT 的 大 小 应 相同 。 





图 13-11 描 述 了 notepad.exe 之 kernel32.dll 的 IMAGE IMPORT _DESCRIPTOR 结 构 。 


OriginalFirstThunk (INT) FirstThunk (IAT) 
(RVA list) (RVA list) 


013E 


* GetCurrentThreadid * 





IMAGE IMPORT DESCRIPTOR 





OriginalFirstThunk (INT) 
TimeDateStamp š 
" QueryPerformenceThreadCounter ” 
ForwarderChain 


Name “Kernel32.dll” 


FirstThunk (IAT) 


ORG ZERRE 


图 13-11 IAT 


图 13-11 中 ，INT 与 IAT 的 各 元 素 同 时 指向 相同 地 址 ， 但 也 有 很 多 情况 下 它们 是 不 一 致 的 (后 


面 会 陆续 接触 很 多 变形 的 PE 文件 ， 到 时 再 逐一 讲解 )。 


下 面 了 解 一 下 PE 装载 器 把 导 和 人 函数 输入 至 IAT 的 顺序 。 


代码 13-13 IAT 输入 顺序 


T: 
2. 


di 
4. 
5: 


6. 
Zs 
8. 


读 取 IID 的 Name 成 员 ， 获 取 库 名 称 字 符 囊 ("kernel32.dl1l")。 

装载 相应 库 。 

— LoadLibrary("kernel32.dll") 

读 取 IID 的 0riginaLFirstThunk 成 员 ， 获 取 INT 地 址 , 

逐一 读 取 INT 中 数组 的 值 ， 获 取 相 应 IMAGE_TMPORT_BY_NAME 地 址 (RVA), 

使 用 IMAGE_ IMPORT_BY_NAME 的 Hint (ordinal) 或 Name 项 ， 获 取 相 应 函数 的 起 始 地 址 。 
一 GetProcAddress("GetCurrentThreadld") 

读 取 IID 的 FirstThunk (IAT) 成 员 ， 获 得 IAT 地 址 。 

将 上 面 获 得 的 函数 地 址 输入 相应 IAT 数 组 值 。 

重复 以 上 步骤 4~7， 直 到 INT 结 束 ( 遇 到 NULL 时 )。 


13.5.3 ”使 用 notepad.exe 练习 


下 面 以 notepad.exe 为 对 象 逐一 查看 。 先 提 一 个 问题 : IMAGE IMPORT _DESCRIPTOR 结 构 体 


数组 究竟 存在 于 PE 文件 的 哪个 部 分 呢 ? 
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它 不 在 PE 头 而 在 PE 体 中 , 但 查找 其 位 置 的 信息 在 PE 头 中 , IMAGE OPTIONAL_HEADER32. 
DataDirectory[1].VirtualAddress 的 值 即 是 IMAGE IMPORT DESCRIPTOR 匀 体 数组 的 起 始 地 址 
( RVA 值 )。IMAGE IMPORT _DESCRIPTOR 结 构 体 数组 也 被 称 为 IMPORT Directory Table ( 只 
了 解 上 述 全 部 称谓 ， 与 他 人 交流 时 才能 没有 障碍 )。 

IMAGE OPTIONAL _ HEADER32.DataDirectory[1] 结 构 体 的 值 如 图 13-12 所 示 ( 第 一 个 4 字 
为 虚拟 地 址 ， 第 二 个 4 字 节 为 Size 成 员 )。 


60060150 00 OG 00 60 10 60 68 68 OO OO AO HO 80 68 88 60 ................ 


80080168 Gu 75 DD DD CB BD BH 00 BO 00 00 O^ 83 00 00 MMAF.: ...f.. 


880080176 OG HG 60 OG 00 00 HA OO 60 68 OG HA 08 08 008 88 ................ 



















[813-12 ”notepad.exe 的 IMAGE OPTIONAL HEADER22.DataDirectory[1] 


整理 图 13-12 中 的 IMAGE OPTIONAL HEADER32.DataDirectory 结 构 体 数组 的 信息 以 便 查 


看 ， 如 表 13-6 所 示 ( 加 深 的 部 分 是 与 导入 相关 的 信息 )。 
表 13-6 ”notepad.exe 文 件 的 DataDirectory 数 组 - Import 





f à B të 说 — RB 

00000158 00000000 RVA of EXPORT Directory 
0000015C 00000000 size of EXPORT Directory 
00000160 00007604 RVA of IMPORT Directory 
00000164 000000C8 size of IMPORT Dirctory 
00000168 0000B000 RVA of RESOURCE Directory 
00000016C 00008304 size of RESOURCE Directory 


像 在 图 13-12 中 看 到 的 一 样 ， 因 为 RVA 是 7604， 故 文件 偏 移 为 6A04。 在 文件 中 查看 6A04， 如 
图 13-13 所 示 ( 请 使 用 “RVA to RAW” 转 换 公 式 )。 








” ” 
88886888 50 tu e (45 Du 79 BB BM FF Fi 








90006018 [FU 78 BU TT m TT ; 
98096228 FFF " 7A 08 11 88 80 80 79 
90986838 FF FF 38 7B 80 9A B4 12 ad 
889060540 76 88 08 FF FF FF FF FF FF FF FF 5E 7B 80 1 
880886058 19 88 08 BA 7 bed 88 FF FF FF FF FF FF FF 
90806068 a Ə 0B E 76 80 68 FF FF 
08086070 F Fi Ñ 00 80 88 18 88 008 58 77 
98886288 F 5 F FF FF EC 80 00 00 SC 10 8 
88006090 Fh 76 68 00 FF FF FF FF FF FF FF FF 5E 82 
88006008 PE 180 88 80 54 78 IF Ft FF FF FPE FF 
80086088 BL 8j | 08 00 88 80 00 68 OB 60 


oooosaco |ü 00 88 06 oo 69 96 00 oo 50 os 0d a2 7C 00 oo Bop 
图 13-13  notepad.exeff]IMAGE IMPORT _DESCRIPTOR 结 构 体 数组 


图 13-13 中 ， 阴 影 部 分 即 为 全 部 的 IMAGE IMPORT DESCRIPTOR 结 构 体 数组 ， 粗 线 框 内 的 
部 分 是 结构 体 数组 的 第 一 个 元 素 (也 可 以 看 到 数组 的 最 后 是 由 NULL 结 构 体 组 成 的 ) 下 面 分 别 看 
一 下 粗 线 框 中 IMAGE _IMPORT_DESCRIPTOR 结 构 体 的 各 个 成 员 ， 如 表 13-7 所 示 。 


表 13-7 notepad.exe 文 件 的 第 一 个 IMAGE_IMPORT_DESCRIPTOR 结 构 体 





文件 偏 移 成 RA RVA RAW 
6A04 OriginalFirstThunk(INT) 00007990 00006D90 
6A08 TimeDateStamp FFFFFFFF - 
6A0C ForwarderChain FFFFFFFF - 
6A10 Name 00007AAC 00006EAC 


6A14 FirstThunk(IAT) 000012C4 000006C4 
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由 于 我 们 只 是 为 了 学 习 IAT， 所 以 没有 使 用 专业 的 PE Viewer， 而 是 使 用 Hex Editor 逐 一 查看 
( 为 方便 起 见 ， 结 构 体 的 值 (RVA ) 已 经 被 转换 为 文件 偏 移 。 希 望 各 位 亲自 转换 一 下 )。 下 面 依 序 
看 看 吧 。 

1. 库 名 称 (Name) 

Name 是 一 个 字符 串 指 针 ， 它 指向 导入 函数 所 属 的 库 文件 名 称 。 在 图 13-14 的 文件 偏 移 6EAC 
( RVA:7AAC 一 RAW:6EAC ) 处 看 到 字符 串 comdlg32.dll1 了 吧 ? 








80866E90 7B 65 6E 46 69 6C 65 4E 61 6D 65 57 00 00 12 88 penFileNameW...- 
08006ERn8 58 72 69 6E 7^ 44 6C 67 45 78 57 00 B3: EH PrintD1gExu. PPD 
00006EBO BC 57 33 32 2E 68 SP UH 00 03 O1 53 68 65 óC [PEEBUTUMB...Shel 
88886EC0 óC 41 62 6F 75 74 57 88 1F 88 44 72 61 67 h6 69 1AboutW...DragFi 


















图 13-14 *comdlg32.dll" FB 


2. OriginalFirstThunk — INT 

INTE— fu Sp A ERU E, (Ordinal, Name ) 的 结构 体 指针 数组 。 只 有 获得 了 这 些 信息 ， 
才能 在 加 载 到 进程 内 存 的 库 中 准确 求 得 相应 函数 的 起 始 地址 〈 请 参考 后 面 EAT 的 讲解 )。 

跟踪 OriginalFirstThunk 成 员 ( RVA:7990—RAW:6D90 )。 

图 13-15 是 INT， 由 地 址 数组 形式 组 成 (数组 尾部 以 NULL 结 束 )。 每 个 地 址 值 分 别 指向 
IMAGE IMPORT BY _ NAME 结构 体 (参考 图 13-11 )。 跟 踪 数 组 的 第 一 个 值 7A7A (RVA )， 进 入 
该 地 址 ， 可 以 看 到 导入 的 API 函 数 的 名 称 字符 串 。 





00086088 46 7B 00 08 D6 7B 00 80 20 7B OG 88 OG OG O0 O0 
080060900 [8 78 80 pü SE 7A ñü UB 9E 7A 8H üd 5d 7A [ 
80006D8G HG 7n BO BO SA 7A GG NO GA rn OB BO 1^ 7A DB Bi 
88006080 2C 7A ü8 GB 06 GG dO Gd DC 7B 00 OO Ds 7B 
80886008 CA 7B 08 00 C2 7B 00 80 Bó 7B 08 88 ER 7B 























图 13-15 INT 


3. IMAGE IMPORT BY NAME 
RVA: 7A7A 即 为 RAW: 6E7A. 
文件 偏 移 6E7A 最 初 的 2 个 字 节 值 ( 000F ) 为 Ordinal， 是 库 中 函数 的 固有 编号 。Ordinal 的 后 面 
为 函数 名 称 字 符 串 PageSetupDlgW ( 同 C 语 言 一 样 ， 字 符 串 末尾 以 Terminating NULL[^0']Z&& )。 
如 图 13-16 所 示 ，INT 是 IMAGE IMPORT BY _ NAME 结构 体 指针 数组 ( 参考 代码 13-12 )。 数 
组 的 第 一 个 元 素 指向 函数 的 Ordinal 值 000F ， 函 数 的 名 称 为 PageSetupDlgW。 
B0006E68 46 69 6E 64 5h 65 78 7h 57 88 15 98 52 65 70 6€ FindTextU...Repl 
B8806bE780 61 63 65 5h 65 78 74 57 00 88 i (B 6? 65 aceTextU. .BELEPIS 


80006580 Ba 65 74 75 YH hh 6b 67 57 8H 88 88 47 65 7h NF SS3TTISUUB..Geto 
80886E98 78 65 6E 46 69 6C 65 4E 61 6D 65 57 88 80 12 ƏƏ penFileNameU.... 






























图 13-16 IMAGE IMPORT BY NAME 


4. FirstThunk - IAT (Import Address Table) 
IAT 的 RVA:12C4 即 为 RAW: 6C4。 












-.KdürtaMór Por 









08800688 00 00 00 00 3C 64 F5 72 40 4D F5 72 91 50 F5 72 
880006C8 ON 00 00 60 Ba 32 76 CE 85 31 76 3 
80000600 ET G3 31 78 
808006E0 i 6 2B d 

D00006F0 YA 9E 4O 4D CE 9E 40 4D CF ñE h1 4D 69 AB ^1 4D 









Zt | ZtM | Chi «aM 





图 13-17  FirstThunk - IAT 
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图 13-17 中 文件 偏 移 6C4~6EB 区 域 即 为 IAT 数 组 区 域 ， 对 应 于 comdlg32.dll 库 。 它 与 INT 类 似 ， 
由 结构 体 指针 数组 组 成 ， 且 以 NULL 结 尾 。 
IAT 的 第 一 个 元 素 值 被 硬 编码 为 76324906， 该 值 无 实际 意义 ，notepad.exe 文 件 加 载 到 内 存 时 ， 
准确 的 地 址 值 会 取代 该 值 。 
Enr 
e 其 实 我 的 系统 ( Windows XP SP3) 'P, 76324906 FP Æ comdlg32.dll! 
PageSetupDlgW 函 数 的 准确 地 址 值 。 但 是 该 文件 在 Windows7 中 也 能 顺利 运行 。 
运行 notepad.exe 进 程 时 ，PE 装 载 器 会 使 用 相应 API 的 起 始 地 址 替换 该 值 。 
e 微软 在 制作 服务 包 过 程 中 重建 相关 系统 文件 ， 此 时 会 硬 编 入 准确 地 址 ( 普通 的 
DLL 实际 地 址 不 会 被 硬 编码 到 IAT 中 ， 通 常 带 有 与 INT 相 同 的 值 )。 
e 另外 ， 普 通 DLL 文件 的 ImageBase 为 10000000， 所 以 经 常会 发 生 DLL 重 定位 。 但 
是 Windows 系 统 DLL 文件 (kerel32/user32/gdi32 等 ) 拥 有 自身 固有 的 ImageBase， 
不 会 出 现 DLL 重 定位 。 


下 面 使 用 OllyDbg 查 看 notepad.exe 的 I[AT， 如 图 13-18 所 示 。 






B10912B3| ?72F54D48| WINSPOOL. ClosePr inter 
72F55091| WINSPOOL. OpenPr interi 







B18812CC| 76329084| comdlg32. Pr intDLgEsl) 
5818512D8| 7631C3E1| comdla32. ChooseFontl 
61801204| "6382396; comdlg32. GetF i leTit Lell 
81881208| 76317B9D| condlg32. GetOpenF i LeNamell 
B18812DC| 76318682! comdlg32. ReplaceTeutlul 
810812E8| 76318836| comdlg32. CommD LaE«tendedError 
ai188123E4| "P6317C2B| comdlg32. GetSaueF i LeNamell 
910912E3| aaaaaoon 








图 13-18 notepad.exe 的 IAT 


notepad.exe 的 ImageBase 值 为 01000000。 所 以 comdlg32.dll!PageSetupDlgW 函 数 的 IAT 地 址 为 
010012C4， 其 值 为 76324906， 它 是 API; 准 确 的 起 始 地 址 值 。 

提示 一 
车 在 其 他 OS (2000, Vista 等 ) 或 服务 包 (SP1、SP2 ) 中 运行 XP SP3 notepad.exe, 
010012C4 地 址 中 会 被 设置 为 其 他 值 ( 相应 OS 的 comdlg32.dll!PageSetupDIgW 地 址 )。 


进入 76324906 地 址 中 ， 如 图 13-19 所 示 ， 可 以 看 到 该 处 即 为 comdlg32.dll 的 PageSetupDlgW 函 
数 的 起 始 位 置 。 

以 上 是 对 IAT 的 基本 讲解 ， 都 是 一 些 初学 者 不 易 理解 的 概念 。 反 复 阅读 前 面 的 讲解 ， 并 且 
实际 进入 相应 地 址 查看 学 习 ， 将 非常 有 助 于 对 概念 的 掌握 。IAT 是 Windows 道 向 分 析 中 的 重 
要 概念 ， 一 定 要 熟练 把 握 。 后 面 学 习 带 有 变形 IAT 的 PE Patch 文 件 时 ,会 进一步 学 习 IAT 相 关 
知识 。 
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jp NOP 
a TE 


Ho: 
|| Ins EDX, Buo RD PTR $$: tEBP*81 notepad. <Modu LeEntryPoint? 


| PUSH. EDI ntdll.7C940208 
|| MOU DIUORD PTR S9: EBP-43,ERX 
| XOR EAX, ERX 


ji nos Eee 
|| LEA EDI ' DWORD PTR SS:LEBP-4R0J 
BEF STOS DWORD PTR ES:CEDI] 

f GER, FRA asan PTR SS:LEBP-4ñ0) 
| MOY DWORD PTR SS: [LEBP-498],EDX ntdll.KiFastSystemCallRet 
| MOU DWORD PTR SStLEBP-4R81, 1 
I CALL 76323965 condlg32. 76323965 
H CHP DWORD PTR SStLEBP-4903,9 

| MOU ESI, EAX 





JE SHORT 76324960 comdlg32. 76324960 
EPUSH DUDRG PTR SS: CEBP=-49C] 
awpa wn PTR DS: [7639011641 kernel32.GlobalFree 
j| QU ECX, DWORD PTR SS:[EBP-4J 
H POP ET kerne L32. 70817067 


图 13-19 comdlg32.PageSetupDIgW 


13.6 EAT 


Windows 操 作 系统 中 ,“ 库 ”是 为 了 方便 其 他 程序 调用 而 集中 包含 相关 函数 的 文件 ( DLL/ 
SYS )。Win32 API 是 最 具 代 表 性 的 库 ， 其 中 的 kernel32.dll 文 件 被 称 为 最 核心 的 库 文件 。 

EAT 是 一 种 核心 机 制 ， 它 使 不 同 的 应 用 程序 可 以 调用 库 文件 中 提供 的 函数 。 也 就 是 说 ， 只 有 
ee 应 库 中 导出 函数 的 起 始 地 址 。 与 前 面 讲解 的 IAT 一 样 ，PE 文 件 内 的 特 

结构 体 ( IMAGE EXPORT DIRECTORY ) 保存 着 导出 信息 ， 且 PE 文件 中 仅 有 一 个 用 来 说 明 库 
iD 构 体 。 

人 
用 来 说 明 IAT 的 IMAGE IMPORT DESCRIPTOR 结构 体 以 数组 形式 存在 , 且 拥 有 
多 个 成 员 。 这 样 是 因为 PE 文件 可 以 同时 导入 多 个 库 。 





可 以 在 PE 文件 的 PE 头 中 查找 到 IMAGE EXPORT DIRECTORY 结构 体 的 位 置 。IMAGE | 
OPTIONAL HEADER22.DataDirectory[0]. VirtualAddress ffi 即 是 IMAGE EXPORT DIRECTORY 
结构 体 数 组 的 起 始 地 址 ( 也 是 RVA 的 值 )。 

图 13-20 显 示 的 是 kernel32.dl! 文 件 的 IMAGE OPTIONAL HEADER32. DataDirectory[0] (第 一 
个 4 字 节 为 VirtualAddress， 第 二 个 4 字 节 为 Size 成 员 ， 参 考 代 码 13-6 )。 





00000150 NO 00 O4 00 OG 18 60 OO OO 00 18 OG OG 10 08 OÐ ................ 
D0000160 OA GO OO 00 10 00 00 G0 DC 26 86 5H 19 6D BO GH ~ 











88880178 98 18 88 80 28 60 OG OO 68 RO 08 DO Bh FE 89 8A 


图 13-20 IMAGE OPTIONAL HEADER22.DataDirectory[0] 


为 便于 查看 ， 将 图 13-20 中 的 IMAGE OPTIONAL HEADER32.DataDirectory 结 构 体 数组 信息 
整理 如 下 表 13-8 ( 深 色 部 分 为 “导出 ”相关 信息 )。 


表 13-8 notepad.exe 文 件 的 DataDirectory 数 组 - Export 





fe 移 值 说 — BB 
00000160 00000000 loader flags 

00000164 00000010 number of directories 
00000168 0000262C RVA of EXPORT Dirctory 
0000016C 00006D19 size of EXPORT Directory 
00000170 00081898 RVA of IMPORT Directory 


00000174 00000028 size of IMPORT Directory 
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由 于 RVA 值 为 262C, 所 以 文件 偏 移 为 1A2C( 希望 各 位 多 练习 RVA 与 文件 偏 移 间 的 转换 过 程 )。 


13.6.1 IMAGE EXPORT DIRECTORY 
IMAGE EXPORT _DIRECTORY 结 构 体 如 代码 13-14 所 示 。 


代码 13-14 IMAGE EXPORT DIRECTORY 结 构 体 


typedef struct IMAGE EXPORT DIRECTORY { 
DWORD Characteristics; 
DWORD TimeDateStamp; // creation time date stamp 
WORD MajorVersion; 
WORD MinorVersion; 


DWORD Name; // address of library file name 
DWORD Base; // ordinal base 
DWORD NumberOfFunctions; // number of functions 
DWORD NumberOfNames; // number of names 
DWORD Address0fFunctions; .// address of function start address 
array 
DWORD X AddressOfNames; // address of function name string array 
DWORD | AddressOfNameOrdinals; // address of ordinal array 
) IMAGE EXPORT DIRECTORY, *PIMAGE EXPORT DIRECTORY; High. Microsoft Platform SDK - winnt.h 


下 面 讲 解 其 中 的 重要 成 员 (全 部 地 址 均 为 RVA )， 如 表 13-9 所 示 。 
表 13-9 IMAGE_EXPORT_DIRECTORY 结 构 体 的 重要 成 员 


项 目 含 X 

NumberOfFunctions 实际 Export 函 数 的 个 数 

NumberOfNames Export 国 数 中 具名 的 国 数 个 数 

AddressOfFunctions Export 函 数 地 址 数组 (数组 元 素 个 数 =NumberOfFunctions ) 

AddressOfNames 函数 名 称 地 址 数组 (数组 元 素 个 数 =NumberOfNames) 

AddressOfNameOrdinals Ordinal 地 址 数组 (数组 元 素 个 数 =NumberOfNames) 

图 13-21 描 述 的 是 kernel32.dll 文 件 的 IMAGE EXPORT _ DIRECTORY 结 构 体 与 整个 EAT 结 构 。 

EAT (RVA 数 组 ) 


IMAGE EXPORT DIRECTORY 

















A6E4 | 35510 | 326F1 | 71DFF 


710C1 





Characteristics 


TimeDataStamp 


— dil" 







MajorVersion 


MinorVersion (RVA 数 组 ) 







Name 


Base 





> > > » > 

5 £ E ER OR 

NumberOfFunctions Ei > > o eo 

© 9 S S 3 

> 3 3 E] o 

S > = = 9 

NumberOfNames o ` z r: o 

s 2 2 

. D v 

L4 n 

AddressOfFunctions = € 
AddressOfNames 

(Ordinal 数 组 ) 





AddressOfNameOrdinals 
2) 0 | 1 2 3 | 4 | 


图 13-21 EAT 
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从 库 中 获得 函数 地 址 的 API 为 GetProcAddress() 函 数 。 该 API 引 用 EAT 来 获取 指定 API 的 地 址 。 
GetProcAddress() API 拥 有 函数 名 称 ， 下 面 讲解 它 如 何 获取 函数 地 址 。 理解 了 这 一 过 程 ， 就 等 于 征 
IR TEAT, 

GetProcAddress() 操 作 原 理 

(1) 利用 AddressOfNames 成 员 转 到 “函数 名 称 数 组 o 

(2)“ 函 数 名 称 数组 ”中 存储 着 字符 串 地 址 。 通 过 比较 (stremp) 字符 串 ， 查 找 指 
定 的 函数 名 称 (此 时 数组 的 索引 称 为 name index )。 

(3) 利用 AddressOfNameOrdinals 成 员 ， 转 到 orinal 数组 。 

(4) £ ordinal 数组 中 通过 name index 查找 相应 ordinal 值 。 

(5) 利用 AddressOfFunctions 成 员 转 到 “函数 地 址 数组 ”(EAT )。 

(6) 在 “函数 地 址 数组 ”中 将 刚刚 求 得 的 ordinal 用 作 数 组 索引 ， 获 得 指定 函数 的 起 

始 地 址 。 


图 13-21 描 述 的 是 kernel32.dl! 文 件 的 情形 。kerel32.dl 中 所 有 导出 函数 均 有 相应 名 称 ， 
AddressOfNameOrdinals 数 组 的 值 以 mndex=ordinal 的 形式 存在 。 但 并 不 是 所 有 的 DLL 文件 都 如 此 。 
导出 函数 中 也 有 一 些 函 数 没 有 名 称 ( 仅 通 过 ordinal 导 出 )，AddressOfNameOrdinals 数 组 的 值 为 
index!=ordinal。 所 以 只 有 按照 上 面 的 顺序 才能 获得 准确 的 函数 地 址 。 


对 于 没有 函数 名 称 的 导出 函数 ， 可 以 通过 Ordinal 查找 到 它们 的 地 址 。 从 Ordinal 
值 中 减 去 IMAGE EXPORT DIRECTORY.Base 成 员 后 得 到 一 个 值 ， 使 用 该 值 作为 “ 函 
数 地 址 数组 ”的 索引 ， 即 可 查找 到 相应 函数 的 地 址 。 


13.6.2 ”使 用 kernel32.dll 练习 


下 面 看 看 如 何 实际 从 kernel32.dll 文 件 的 EAT 中 查找 AddAtomW 函 数 ( 参考 图 13-21 ), 由 表 13-8 
可 知 ，kernel32.dll 的 IMAGE EXPORT DIRECTORY 结 构 体 RAW 为 1IA2C。 使 用 Hex Editor 进 入 
1A2C 偏 移 处 ， 如 图 13-22 所 示 。 


868001820 8D 45 BC 58 FF 15 44 12 7D 7C C3 98 月 
88001838 


66801048 Ere 5 s 
800016058 E4 Aó 88 88 1D 55 83 08 F1 26 903 00 s I 31...U. Ae.. 





图 13-22 kernel32.dll]IMAGE EXPORT _DIRECTORY 结 构 体 


图 13-22 深 色 部 分 就 是 IMAGE EXPORT _ DIRECTORY 结 构 体 区 域 。 该 IMAGE_ EXPORT 
DIRECTORY 结 构 体 的 各 个 成 员 如 表 13-10 所 示 。 


表 13-10 kernel32.dll 文 件 的 IMAGE_EXPORT_DIRECTORY 结 构 体 





文件 偏 移 成 R 值 RAW 
1A2C Characteristics 00000000 - 
1A30 TimeDateStamp 49C4DI2bE 
1A34 MajorVersion 0000 
1A36 MinorVersion 0000 - 


1A38 Name 00004B98 3F98 
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( 续 ) 

文件 偏 移 成 A 值 RAW 

1A3C Base 00000001 - 

1A40 NumberOfFuctions 000003BA - 

1A44 NumberOfNames 000003BA - 

1A48 AddressOfFunctions 00002654 1A54 

1A4C AdderssOfNames 0000353C 293C 

1A50 AddressOfNameOrdinals 00004424 3824 


依照 前 面 介 绍 的 代码 13-15 的 顺序 查看 。 


1. 函数 名 称 数组 
AddressOfNames 成 员 的 值 为 RVA=353C， 即 RAW=293C。 使 用 Hex Editor 查 看 该 地 址 ， 如 图 


13-23 所 示 。 























88082938 
80082918 
80082958 
80082968 WF 
68002970 PF 4C 80 B8 AD 3C G6 DƏ 99 C3 4C 80 ed : 
880929080 EF AC í .E7 4C 88 00 01 4D 00 OG 22 4D BO Gd vet M. h 
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图 13-23  AddressOfNames 


此 处 为 4 字 节 RVA 组 成 的 数组 。 数 组 元 素 个 数 为 NumberOfNames ( 3BA )。 了 逐一 跟随 所 有 RVA 
值 即 可 发 现 函 数 名 称 字 符 串 。 


2. 查找 指定 函数 名 称 
要 查找 的 函数 名 称 字符 串 为 “AddAtomW”， 只 要 在 图 13-23 中 找到 RVA 数 组 第 三 个 元 素 的 值 


(RVA:4BBD—RAW:3FBD ) 即 可 。 
进入 相应 地 址 就 会 看 到 “AddAtomwW” 字 符 串 ， 如 图 13-24 所 示 。 此 时 “AddAtomW ”函数 


名 即 是 图 13-23 数 组 的 第 三 个 元 素 ， 数 组 索引 为 2。 


Ctx. ñadatona- nda] 


OST ddConsole 
[813-24 “AddAtomW” 字 符 串 





3. Ordinal 数 组 
下 面 查 找 “AddAtomW ”函数 的 Ordinal 值 。AddressOfNameOrdinals 成 员 的 值 为 RVA:4424 一 


RVA:3824。 
在 图 13-25 中 可 以 看 到 ， 深 色 部 分 是 由 多 个 2 字 节 的 ordinal 组 成 的 数组 ( ordinal 数 组 中 的 各 元 


素 大 小 为 2 个 字 节 )。 


00003820 08 90 00 00 
00003830 PE W? Dí 
00803856 


86803850 i 7 Lr] 19 ; B 88 1€ 88 1D 8i 
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图 13-25  AddressOfNameOrdinals 
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4. ordinal 


将 2 中 求 得 的 index 值 (2) 应 用 到 3 中 的 Ordinal 数 组 即 可 求 得 Ordinal(2)。 
AddressOfNameOrdinals[index]=ordinal (index-2,ordinal-2) 


5. 函数 地 址 数组 - EAT 
最 后 查找 AddAtomwW 的 实际 函数 地 址 。AddressOfFunctions 成 员 的 值 为 RVA:2654 一 RVA:1A54。 
图 13-26 深 色 部 分 即 为 4 字 节 函数 地 址 RVA 数 组 ， 它 就 是 Export 函 数 的 地 址 。 
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图 13-26  AddressOfFunctions 


6. AddAtomW 函 数 地 址 
图 13-26 中 ,为 了 获取 “AddAtomW” 函 数 的 地 址 ， 将 图 13-25 中 求 得 的 Ordinal 用 作 图 13-26 
数组 的 索引 ， 得 到 RVA=00326F1。 
AddressOfFunctions[ordinal]=RVA(ordinal=2,RVA=326F1) 


kernel32.dll 的 ImageBase=7C7D0000。 因 此 AddAtomW 函数 的 实际 地 址 ( VA ) 为 7C8026F1 
( 7C7D0000+326F1=7C8026F1 )。 可 daaa 如 图 13-27 所 示 。 
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图 13-27 pou 


如 图 13-27 所 示 ，7C8026F1 地 址 ( VA ) 处 出 现 的 就 是 要 查找 的 AddAtomW 函 数 。 以 上 过 程 是 
在 DLL 文件 中 查找 Export 函 数 地 址 的 方法 ， 与 使 用 GetProcAddress0 API 获 取 指 定 函 数 地 址 的 方法 
一 致 。 

最 基本 、 最 重要 的 部 分 到 此 就 全 部 讲 完 了 。 要 理解 这 些 内 容 并 不 容易 ， 若 有 不 理解 的 暂且 保 
留 ， 通 过 实际 操作 慢 慢 理解 。 


TCB82783 


13.7 ”高 级 PE 


前 面 我 们 花 了 相当 长 时 间 来 学 习 PE 文 件 格式 相关 知识 。 虽 然 可 以 根据 PE 规范 逐一 学 习 各 结 
构 体 成 员 ， 但 前 面 的 学 习 中 仅 抽 取 与 代码 逆向 分 析 息 息 相关 的 成 员 进 行 了 说 明 。 其 中 IAT/EAT 相 
关内 容 是 运行 时 压缩 器 (Run-time Packer )、 反 调试 、DLL 注 入、API 钓 取 等 多 种 中 高 级 逆向 主题 的 
基础 知识 。 和 希望 各 位 多 训练 使 用 Hex Editor、 铝 笔 、 纸 张 逐 一 计算 IAT/EAT 的 地 址 ， 再 找到 文件 / 
内 存 中 的 实际 地 址 。 虽 然 要 掌握 这 些 内 容 并 不 容易 ,但 是 由 于 其 在 代码 逆向 分 析 中 占有 重要 地 位 ， 
所 以 只 有 掌握 它们 ， 才 能 学 到 高 级 逆向 技术 。 


13.7.1 PEView.exe 
下 面向 各 位 介绍 一 个 简单 易 用 的 PE Viewer 应 用 程序 ( PEView.exe ) (个 人 编写 的 免费 公开 SW )。 
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http://www.magma.ca/-wjr/PEView.zip 
图 13-28 是 PEView.exe 的 运行 界面 。 


~ PEview - C:WWINDOWSWnotepad.exe 
File. View Go Help 


$1000 omn i* t |[=|= = 
& notepad.exe „pFile |. . Data , Description , _ 
IMAGE DOS HEADER | DOODODFB Magic 
MS-DOS Stub Program 000000FA Major Linker Version 
m. IMAGE_NT_HEADERS 0D0000FB Minor Linker Version 
Signature O00000FC 00007800 Size of Code 
IMAGE_FILE_HEADER 00000100 O0008C00 Size of initialized Data 
IMAGE OPTIONAL HEADER 00000104 00000000 Size of Uninitialized Data 
IMAGE SECTION HEADER .text 00000108 0000739D Address of Entry Point 
IMAGE SECTION HEADER .data || 0000010C 00001000 Base of Code 
IMAGE SECTION HEADER .rsrc 00000110 00009000 Base of Data 
BOUND IMPORT Directory Table 00000114 01000000 Image Base 
BOUND IMPORT DLL Names 00000118 00001000 Section Alignment 
g SECTION text 0000011C 00000200 File Alignment 
IMPORT Address Table 00000120 0005 Major O/S Version 
IMAGE_DEBUG_DIRECTORY 0001 Minor O/S Version 
IMAGE LOAD CONFIG DIREC 0005 Major Image Version 
IMAGE_DEBUG_TYPE_CODEY 0001 Minor Image Version 
IMPORT Directory Table 00000128 0004 Major Subsystem Version 
IMPORT Name Table 0000012A 0000 Minor Subsystem Version 
IMPORT Hints/Names & DLL Na | 0000012C 0D0000000 ^ Win32 Version Value 
SECTION .data 00000130 00014000 Size of Image 
& SECTION .rsrc 00000134 00000400 Size of Headers 
00000138 000126CE Checksum 
00000013C 0002 Subsystem 
00000013E 8000 DLL Characteristics 
8000 
00040000 Size of Stack Reserve 
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图 13-28 PEView 


PEView 中 ，PE 头 按 不 同 结构 体 分 类 组 织 起 来 ， 非 常 方便 查看 ， 也 能 非常 容易 地 在 RVA 与 文 
件 偏 移 间 转换 ( 与 前 面 讲解 的 内 容 与 术语 略微 不 同 。 若 二 者 都 能 熟练 掌握 ,与 他 人 沟通 时 会 更 加 


顺畅 )。 
强烈 建议 各 位 自己 制作 一 个 PE Viewer。 我 刚 开 始 学 习 PE 头 时 ( 为 了 验证 ) 就 制作 了 一 款 基 


于 控制 台 的 PE Viewer， 使 用 至 今 。 亲 手 制作 PE Viewer 可 以 学 到 更 多 知识 ， 纠 正 理解 上 的 错误 ， 
更 有 利于 进步 。 


13.7.2 Patched PE 


顾名思义 ,PE 规范 只 是 一 个 建议 性 质 的 书面 标准 , 查看 各 结构 体内 部 会 发 现 , 其 实 有 许多 成 
员 并 未 被 使 用 。 事 实 上 ， 只 要 文件 符合 PE 规范 就 是 PE 文件 ， 利 用 这 一 点 可 以 制作 出 一 些 脱 离 常 
识 的 PE 文件 。 

Patched PE 指 的 就 是 这 样 的 PE 文件 ， 这 些 PE 文件 仍然 符合 PE 规范 ， 但 附带 的 PE 头 非常 具有 
创意 ( 准确 地 说 ，PE 头 纠缠 放置 到 各 处 )。 代 码 逆向 分 析 中 ，Patched PE 涉及 的 内 容 宽泛 而 有 深 
度 ， 

这 里 只 介绍 一 点 ， 但 是 足以 颠覆 前 面 对 PE 头 的 常规 理解 (但 仍 未 违反 PE 规范 )。 
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在 下 列 网 站 制作 一 个 名 为 “tiny pe” 的 最 小 PE 文件 。 
http://blogs.securiteam.com/index.php/archives/675 


它 是 正常 的 PE 文件 ， 大 小 只 有 411 个 字 节 。 其 IMAGE NT_HEADERS 结 构 体 大 小 只 有 248 个 
字 节 ， 从 这 一 点 来 看 ， 的 确 非 常 小 。 其 他 人 也 不 断 加 入 挑战 ， 现 在 已 经 出 现 了 304 个 字 节 的 PE 文 
件 。 有 人 访问 上 面 网 站 后 受到 了 刺激 ,制作 了 一 个 非常 极端 、 非 常 荒唐 的 PE 文件 , 在 下 列 网 址 中 
可 以 看 到 。 


http://www.phreedom.org/solar/code/tinype/ 


进入 网 站 后 可 以 下 载 一 个 97 字 节 的 PE 文件 ， 它 可 以 在 Windows XP 中 正常 运行 。 并 且 网 站 记 
录 了 PE 头 与 tiny pe 的 制作 过 程 ， 认 真 阅读 这 些 内 容 会 有 很 大 帮助 ( 需要 具备 一 点 汇编 语言 的 知 
iR). 希望 各 位 全 部 下 载 并 逐一 分 析 ， 技 术 水 平 必 有 显著 提高 。 
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这 些 Patched PE 文件 能 够 帮助 打破 对 PE 文件 的 固有 概念 ， 对 我 、 对 普通 的 逆向 分 析 人 员 都 一 
样 。 正 因 如 此 ， 逆 向 分 析 技 术 学 起 来 才 更 有 意思 。 关 于 PE 头 需要 再 次 强调 的 内 容 整理 如 下 。 

口 PE 规范 只 是 一 种 标准 规范 而 已 (有 许多 内 容 未 使 用 )。 

O 现在 已 知 关于 PE 头 的 认识 中 有 些 是 错误 的 〈 除 tiny pe 外， 会 出 现 更 多 操作 PE 头 的 创意 

技巧 )。 

a 经 常 检验 掌握 的 知识 ， 发 现 不 懂 的 马上 补充 学 习 。 

后 面 还 会 有 机 会 详细 分 析 、 学 习 Patched PE 文件 有 关 知 识 ， 到 时 再 向 各 位 一 一 介绍 有 关 操 作 
PE 头 更 多 有 趣 而 奇特 的 技巧 。 





Q. 前 面 的 讲解 中 提 到 , 执行 文件 加 载 到 内 存 时 会 根据 Imagebase 确 定 地 址 , 那么 2 个 notepad 
程序 同时 运行 时 Imagebase 都 是 10000000， 它 们 会 侵占 彼此 的 空间 区 域 ， 不 是 这 样 吗 ? 

A. 生成 进程 (加载 到 内 存 ) 时 ，OS 会 单独 为 它 分 配 4GB 大 小 的 虚拟 内 存 。 虚 拟 内 存 与 实际 
物理 内 存 是 不 同 的 。 同 时 运行 2 个 notepad 时 ， 各 进程 分 别 在 自身 独 有 的 虚拟 内 存 空间 中 ， 
所 以 它们 彼此 不 会 重 登 。 这 是 由 OS 来 保障 的 。 因 此 ， 即 使 它们 的 Imagebase 一 样 也 完全 没 
问题 。 

Q. TELER GAA” (padding) 这 一 概念 。 

A. 相信 会 有 很 多 人 想 了 解 PE 文 件 的 “填充 ”这 一 概念 ， 就 当 它 是 为 了 对 齐 “ 基 本 单位 ”而 
添加 的 “ 饶 头 "。“ 基 本 单位 ”这 个 概念 在 计算 机 和 日 常生 活 中 都 常见 。 
比如 ， 保 管 大 量 的 橘子 时 并 不 是 单个 保管 ， 而 是 先 把 它们 分 别 放 入 一 个 个 箱子 中 ， 然 后 
再 放 入 仓库 。 这 些 箱子 就 是 “基本 单位 ”。 并 且 ， 说 橘子 数量 时 也 很 少 说 几 个 橘子 ， 而 说 
几 箱 橘子 ， 这 样 称呼 会 更 方便 。 橘 子 箱 数 增加 很 多 时 ， 就 要 增加 保管 仓库 的 数量 。 此 时 
不 会 再 说 几 箱 橘子 ， 而 是 说 “ 几 含 库 的 橘子 ”。 事 实 上 ， 这 样 保管 橘子 便于 检索 ， 查 找 时 
只 要 说 出 “ 几 号 仓库 的 几 号 箱子 的 第 几 个 橘子 ” 即 可 。 也 就 是 说 , 保存 大 量 数据 时 成 “ 捆 ” 
保管 ， 整 理 与 检索 都 会 变 得 更 容易 。 这 种 “基本 单位 ”的 概念 也 被 融入 计算 机 设计 ， 还 
被 应 用 到 内 存 、 硬 盘 等 。 各 位 一 定 听 说 过 硬盘 是 用 “ 户 区 ”这 个 单位 划分 的 吧 ? 


> o > 
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同样 , “基本 单位 (大 小 ) 的 概念 也 应 用 到 了 PE 文件 格式 的 节 区 。 即 使 编写 的 代码 ( 编 
译 为 机 器 语言 ) 大 小 仅 有 100d 字 节 ， 若 节 区 的 基本 单位 为 1000d (400h ) 字 节 ， 那 么 代码 
节 区 最 小 也 应 该 为 1000d。 其 中 100 个 字 节 区 域 为 代码 ， 其 余 900 个 字 节 区 域 填充 着 
NULL (0), 后 者 称 为 NULL 填 充 区域 。 内 存 中 也 使 用 “基本 单位 ”的 概念 (其 单位 的 大 
小 比 普通 文件 要 略 大 一 些 ), 那么 PE 文件 中 的 填充 是 谁 创建 的 呢 ? 在 开发 工具 ( VC++/VB 
等 ) 中 生成 PE 文件 时 由 指定 的 编译 选项 确定 。 


. 经 常 在 数字 旁边 见 到 字母 “h”， 它 是 什么 单位 ? 
. 数字 旁边 的 字母 “h” 是 Hex 的 首 字母 ， 表 示 前 面 的 数字 为 十 六 进 制 数 。 另 外 ， 十 进 制 数 


Md ( Decimal )、 和 八进制 数 用 o ( Octal )、 二 进 制 数 用 b (Binary ) 标识 。 


. 如 何 只 用 Hex Editor 识 别 出 DOS 存 根 、IMAGE_FILE_HEADER 等 部 分 呢 ? 
. 根据 PE 规范 ， IMAGE DOS_HEADER 的 大 小 为 40 个 字 节 ，DOS 存 根 区 域 为 40~PE 签 名 区 


域 。 紧 接 在 PE 签名 后 的 是 IMAGE FILE HEADER， 且 该 结构 体 的 大 小 是 已 知 的 ,所 以 也 
可 以 在 Hex Editor 中 表示 出 来 。 也 就 是 说 ， 解 析 PE 规 范 中 定义 的 结构 体 及 其 成 员 的 含义 ， 
即 可 区 分 出 各 组 成 部 分 ( 多 看 几 次 就 熟悉 了 )。 


. IMAGE_FILE_HEADER 的 TimeDateStamp 值 为 0x47918EA2 ， 在 PEView 中 显示 为 


2008/01/19,05:46:10 UTC， 如 何 才能 这 样 解析 出 来 呢 ? 
使 用 C 语 言 标准 库 中 提供 的 ctime0O 函 数 , 即 可 把 4 个 字 节 的 数字 转换 为 实际 的 日 期 字符 串 。 


. PE 映像 是 什么 ? 
. PE 映像 这 一 术语 是 微软 创建 PE 结构 时 开始 使 用 的 ,一 般 是 指 PE 文 件 运 行 时 加 载 到 内 存 中 


的 形态 。PE 头 信息 中 有 一 个 SizeOfImage 项 ， 该 项 指出 了 PE 映像 所 占 内 存 的 大 小 。 当 然 ， 
这 个 大 小 与 文件 的 大 小 不 一 样 。PE 文 件 格式 妙 处 之 一 就 在 于 ， 其 文件 形态 与 内 存 形 态 是 
不 同 的 。 


. 不 太 明 白 EP 这 一 概念 。 
. EP 地 址 是 程序 中 最 早 被 执行 的 代码 地 址 。CPU 会 最 先 到 EP 地 址 处 ， 并 从 该 处 开始 依次 执 


行 指令 。 


. 用 PEView 打 开 记 事 本 程序 (notepad.exe) 后 ， 发 现 各 节 区 的 起 始 地 址 、 大 小 等 与 示例 


中 的 不 同 ， 为 什么 会 这 样 呢 ? 


. notepad.exe 文 件 随 OS 版 本 的 不 同 而 不 同 ( 其 他 所 有 系统 文件 也 如 此 )。 换言之 , 不 同 版 本 


的 OS 下 ， 系 统 文件 的 版 本 也 是 不 同 的 。 微 软 可 能 修改 了 代码 、 更 改 了 编译 选项 ， 重 新 编 
译 后 再 发 布 。 


. 对 图 13-9 及 其 下 面 的 Quiz 不 是 很 理解 。 如 何 知 道 RVA 5000 包 含 在 哪个 节 区 呢 ? 
. 图 13-9 是 以 节 区 头 信息 为 基础 绘制 的 。 图 (或 节 区 头 信 息 ) 中 的 .text 节 区 是 指 VA 


01001000~01009000 区 域 ， 转 换 为 RVA 形 式 后 对 应 于 RVA 1000~9000 区 域 ( 即 减 去 
Imagebase 值 的 01000000 )。 由 此 可 知 ，RVA 5000 包 含 在 .text 节 区 中 。 


. 讲解 节 区 头 成 员 VirtualAddress 时 提 到 ， 它 是 内 存 中 节 区 头 的 起 始 地 址 CRVA )， 


VirtualAddress 不 就 是 VA 吗 ? 为 什么 要 叫 RVA 呢 ? 


.“ 使 用 RVA 值 来 表示 节 区 头 的 成 员 VirtualAddress”"， 这 样 理解 就 可 以 了 。 节 区 头 结构 体 


(IMAGE SECTION HEADER ) 的 VirtualAddress 成 员 与 虚拟 内 存 地 址 ( VA, Virtual 
Address ) 用 的 术语 相同 才 引 起 这 一 混乱 。 此 处 “VirtualAddress 成 员 指 的 是 虚拟 内 存 中 相 
应 节 区 的 起 始 地 址 ， 它 以 RVA 的 形式 保存 ”， 如 此 理解 即 可 。 
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Q. 查看 某 个 文件 时 ， 发 现 其 IMAGE_IMPORT_DESCRIPTOR 结 构 体 的 OriginalFirstThunk 
成 员 为 NULL, 跟踪 FirstFThunk 成 员 , 看 到 一 个 实际 使 用 的 API 的 名 称 字符 串 数 组 (INT). 
跟踪 FirstThunk 应 该 看 到 的 是 IAT 而 不 是 INT， 这 是 怎么 回 事 呢 ? 

. PE 装载 器 无 法 根据 OriginalFirstThunk 查 找到 API 名 称 字符 串 数 组 (INT) 时 ， 就 会 尝试 用 
FirstThunk 查 找 。 本 来 FirstThunk 含 义 为 IAT， 但 在 实际 内 存 中 被 实际 的 API 函 数 地址 覆盖 
掉 了 (此 时 INT 与 IAT 虽 然 是 相同 区 域 ， 但 仍然 能 够 正常 工作 )。 

. 使 用 Windows7 的 notepad.exe 测 试 ， 用 PEView 打 开 后 ，IAT 起 始 地 址 为 01001000， 而 用 
OllyDbg 查 看 时 IAT 出 现在 00831000 地 址 处 。 请 问 这 是 怎么 回 事 呢 ? 

. 这 是 由 Windows Vista、7 中 使 用 的 ASLR 技 术 造 成 的 。 请 参考 第 41 章 。 

. EAT 讲 解 中 提 到 的 Ordinal 究 竟 是 什么 ? 不 太 理解 。 

. 把 Ordinal 想 成 导出 函数 的 国有 编号 就 可 以 了 。 有 时 候 某 些 函数 对 外 不 会 公开 函数 名 ， 仅 
公开 函数 的 固有 编号 ( Ordinal )。 导 入 并 使 用 这 类 函数 时 ,要 先 用 Ordinal 查 找到 相应 函数 
的 地 址 后 再 调用 。 比 如 下 面 示例 (1) 通 过 函数 名 称 来 获取 函数 地 址 ， 示 例 (2) 则 使 用 函数 的 
Ordinal 来 取得 函数 地 址 。 
示例 (1) pFunc=GetProcAddress( “TestFunc”); 
示例 (2) pFunc=GetProcAddress(5); 
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运行 时 压缩 器 ( Run-Time Packer ) 是 软件 逆向 分 析 学 的 常见 主题 。 为 了 理解 好 它 ， 需 要 掌握 
有 关 PE 文 件 格式 、 操 作 系 统 的 基本 知识 〈 进程、 内 存 、DLL 等 )， 同 时 也 要 了 解 有 关 压 缩 /解压 缩 
算法 的 基本 内 容 。 其 中 许多 部 分 已 经 在 前 面 讲解 过 了 , 学 习 运 行 时 压缩 能 够 进一步 帮助 大 家 把 前 
面 学 过 的 逆向 分 析 知 识 系统 化 ， 做 到 融会 贯通 。 


14.1 数据 压缩 


大 家 对 于 数据 压缩 都 比较 熟悉 ， 下 面 简单 梳理 一 下 相关 知识 。 数 据 压 缩 (Data Compression ) 
是 计算 机 工程 的 主要 研究 内 容 , 经 过 数 十 年 发 展 已 经 有 了 深入 研究, 今后 还 会 不 断 出现 更 多 、 更 
好 的 算法 。 

如 果 日 常生 活 中 能 够 非常 容易 地 压缩 某 个 物体 该 多 么 方便 啊 ! 也 就 不 再 需要 仓库 、 停 车 场 、 
集 法 箱 了 ， 当 然 ， 得 能 压缩 才 行 。 而 在 数码 世界 ，( 只 要 不 是 压缩 过 的 信息 ) 任何 信息 都 能 轻松 
压缩 。 

不 论 哪 种 形态 的 文件 (数据 ) 都 是 由 二 进 制 (0 或 1 ) 组 成 的 ， 只 要 使 用 合适 的 压缩 算法 ， 就 
能 缩减 其 大 小 。 经 过 压缩 的 文件 略 能 100% 恢 复 ， 则 称 该 压缩 为 “无 损 压缩 ”( Lossless Data 
Compression ); 若 不 能 恢复 原状 ， 则 称 该 压缩 为 “有 损 压缩 ”( Loss Data Compression )。 


14.1.1 无 损 压 缩 


无 损 压 缩 用 来 缩减 文件 (数据 ) 的 大 小 , 压缩 后 的 文件 更 易 保 管 、 移 动 。 使 用 经 过 压缩 的 文 
件 之 前 ， 需 要 先 对 文件 解压 缩 ( 此 过 程 中 应 该 保证 数据 完整 性 )。 

各 位 肯定 用 过 类 似 7-zip、“ 面 包 房 ”的 压缩 程序 ， 用 它们 压缩 文件 就 是 无 损 压 缩 算法 。 最 
具 代 表 性 的 无 损 压 缩 算法 有 Run-Length、Lempel-Ziv、Huffman 等 。 此 外 还 有 许多 其 他 压缩 算 
法 ,它们 都 是 在 上 面 3 种 压缩 算法 的 基础 上 改造 而 成 的 。 只 要 准确 理解 了 上 面 3 种 ， 就 能 轻松 掌 
握 其 他 各 种 压缩 算法 。ZIP 、RAR 等 是 具有 代表 性 的 压缩 文件 格式 ， 它 们 最 根本 的 压缩 理念 也 
是 Run-Length、Lempel-Ziv、Hufftman， 然 后 应 用 了 一 些 各 自 特有 的 技术 ( 压缩 率 、 压 缩 /解压 
时 间 )。 


14.1.2 ”有 损 压 缩 


相反 ， 有 损 压缩 允许 压缩 文件 (数据 ) 时 损失 一 定 信息 ， 以 此 换取 高 压缩 率 。 压 缩 多 媒体 文 
fF (jpg、mp3、mp4 ) 时 ， 大 部 分 都 使 用 这 种 有 损 压 缩 方 式 。 从 压缩 特性 来 看 ， 有 损 压 缩 的 数据 
解压 缩 后 不 能 完全 恢复 原始 数据 。 人 类 的 肉眼 与 听觉 几乎 无 法 察觉 到 这 些 多 媒体 文件 在 压缩 中 损 
失 的 数据 。 经 过 有 损 压缩 后 ,虽然 压缩 文件 与 原文 件 ( 从 数据 层面 上 看 ) 存在 差异 , 但 重要 的 是 
人 们 几乎 区 分 不 出 这 种 微小 的 差别 。 以 mp3 文 件 为 例 ，mp3 的 核心 算法 通过 删除 超越 人 类 听觉 范 
Hi (20-20000Hz ) 的 波长 区 段 来 缩减 (不 需要 的 ) 数据 大 小 。 
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14.2 ”运行 时 压缩 器 


顾名思义 ， 运 行 时 压缩 器 是 针对 可 执行 (PE, Portable Executable ) 文件 而 言 的 ， 可 执行 文 
件 内 部 含有 解压 缩 代码 ， 文 件 在 运行 瞬间 于 内 存 中 解压 缩 后 执行 。 

运行 时 压缩 文件 也 是 PE 文件 ， 内 部 含有 原 PE 文 件 与 解码 程序 。 在 程序 的 EP 代码 中 执行 解码 
程序 ， 同 时 在 内 存 中 解压 缩 后 执行 。 表 14-1 列 出 了 运行 时 压缩 与 普通 ZIP 压 缩 的 不 同 点 。 


表 14-1 普通 压缩 与 运行 时 压缩 的 比较 





项 H 普通 压缩 运行 时 压缩 
对 象 文件 所 有 文件 PE 文件 (exe、dll、sys) 
压缩 结果 压缩 文件 (zip、rar) PE 文件 (exe, dll, sys) 
解压 缩 方式 使 用 专门 解压 缩 程序 内 部 含有 解码 程序 
文件 是 否 可 执行 。 本 身 不 可 执行 本 身 可 执行 
优点 可 以 对 所 有 文件 以 高 压缩 率 压缩 无 须 专门 解压 程序 便 可 直接 运行 
缺点 若 无 专 门 解压 缩 软 件 则 无 法 使 用 压缩 文件 每 次 运行 均 需 调用 解码 程序 导致 运行 时 间 过 长 


与 普通 压缩 器 相 比 ， 运 行 时 压缩 器 的 一 个 明显 不 同 是 “PE 文件 的 可 运行 性 ”。 
把 普通 PE 文件 创建 成 运行 时 压缩 文件 的 实用 程序 称 为 “压缩 器 ”( Packer )， 经 反 逆 向 
( Anti-Reversing ) 技术 特别 处 理 的 压缩 器 称 为 保护 器 (Protector )。 


14.2.4 压缩 器 


PE 压缩 器 是 指 可 执行 文件 的 压缩 器 ， 准 确 一 点 应 该 称 为 “运行 时 压缩 器 "， 它 是 PE 文件 的 专 
用 压缩 器 。 

#1. 使 用 目的 

e 缩减 PE 文件 的 大 小 

文件 尺寸 小 是 其 突出 的 优点 之 一 ， 更 便于 网 络 传 输 与 保存 。 

e 隐藏 PE 文件 内 部 代码 与 资源 

使 用 压缩 器 的 另 一 个 原因 在 于 ， 它 可 以 隐藏 PE 文件 内 的 代码 及 资源 (字符 串 、API 名 称 字符 
串 ) 等 。 压 缩 后 的 数据 以 难以 辨识 的 二 进 制 文件 保存 ， 从 文件 本 身 来 看 ， 这 能 有 效 隐藏 内 部 代码 
与 资源 ( 当然 解压 缩 后 可 以 通过 内 存 的 Dump 窗 口 查看 )。 

#2. 使 用 现状 

运行 时 压缩 的 概念 早 在 DOS 时 代 就 出 现 了 ， 可 当时 并 未 广泛 使 用 。 因 为 那 时 的 PC 速度 不 怎 
么 快 ， 每 次 执行 文件 时 ， 解 压缩 的 过 程 会 引起 很 大 的 系统 开销 。 而 现在 的 PC 速度 已 经 变 得 非常 
快 ， 用 户 不 能 明显 察觉 运行 时 压缩 文件 与 源 文件 在 执行 时 间 上 的 差别 。 因 此 ， 现 在 的 实用 程序 、 
“ 打 补 本 ”文件 、 普 通 程序 等 都 广泛 应 用 运行 时 压缩 。 

#3. 压缩 器 种 类 

下 面 介 绍 几 个 有 名 的 压缩 器 。PE 压 缩 器 大 致 可 分 为 两 类 : 一 类 是 单纯 用 于 压缩 普通 PE 文件 
的 压缩 器 ; 另 一 类 是 对 源 文 件 进行 较 大 变形 、 严 重 破坏 PE 头 、 意 图 稍 嫌 不 纯 的 压缩 器 。 这 里 说 的 
“意图 不 纯 的 压缩 器 ”是 指 专门 用 于 恶意 程序 (如 : Virtus、Trojan、Worm 等 ) 的 压缩 器 。 

本 书 中 出 现 的 “纯粹 与 不 纯粹 ”的 划分 标准 基于 我 的 经 验 以 及 www.virustotal.com 网 站 诊断 
的 结果 。 
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压缩 器 分 类 u i 
目的 纯粹 的 压缩 器 (未 经 VirusTotal 诊 断 ); UPX, ASPack+. 
目的 不 纯 的 压缩 器 (VirusTotal): UPack、PESpin、NSAnti 等 。 


14.2.2 ”保护 器 


PE 保护 器 是 一 类 保护 PE 文件 免 受 代码 逆向 分 析 的 实用 程序 。 它 们 不 像 普通 的 压缩 器 一 样 仅 
对 PE 文件 进行 运行 时 压缩 , 而 应 用 了 多 种 防止 代码 逆向 分 析 的 技术 ( 反 调 试 、 反 模拟 、 代码 混乱 、 
多 态 代码 、 垃 圾 代码 、 调 试 器 监视 等 )。 这 类 保护 器 使 压缩 后 的 PE 文件 尺寸 反而 比 源 文件 要 大 一 
些 ， 调 试 起 来 非常 难 。 

详细 分 析 保 护 器 需要 丰富 的 道 向 分 析 经 验 。 当 然 , 网 络 上 提供 了 各 种 解除 保护 器 的 技巧 , 运 
气 好 的 话 ， 即 便 是 新 手 也 可 能 顺利 找到 源 文件 的 OEP (Original Entry Point， 原 始 和 人 口 点 )， 但 大 
多 数 情况 没 这 人 么 幸运 。 

#1. 使 用 目的 

@ 防止 破解 

相信 没 人 愿意 自己 编写 的 程序 被 非法 破解 并 使 用 。 此 时 使 用 保护 器 可 有 效 保护 PE 文件 。 

@ 保护 代码 与 资源 

保护 器 不 仅 可 以 保护 PE 文件 本 身 ， 还 可 在 文件 运行 时 保护 进程 内 存 ， 防 止 打开 Dump 窗 口 。 
因此 ， 使 用 保护 器 可 以 比较 安全 地 保护 程序 自身 的 代码 与 资源 。 

#2. 使 用 现状 

这 类 保护 器 大 量 应 用 于 对 破解 很 敏感 的 安全 程序 。 比 如 安装 在 线 游戏 时 会 自动 安装 安全 保护 
程序 ， 游 戏 安全 保护 程序 就 是 为 了 防止 游戏 “破解 工具 ”运行 的 。 

恶意 的 游戏 破解 者 总 是 想方设法 破解 游戏 的 安全 保护 程序 ， 因 为 破解 成 功 后 他 们 可 以 利用 
“游戏 内 核 ”获取 金钱 回报 。 所 以 ， 安 全 保护 程序 为 了 防止 恶意 破解 而 使 用 各 种 保护 器 来 保护 自 
己 〈 不 断 更 换 保 护 器 会 让 游戏 破解 者 们 发 疯 )。 

另 一 方面 ， 常 抑 的 恶性 代码 (Trojan, Worm) 中 也 大 量 使 用 保护 器 来 防止 〈 或 降低 ) 杀毒 软 
件 的 检测 。 有 些 保 护 器 还 能 提供 “多 变 的 代码 ”， 每 次 都 会 生成 不 同形 态 ( 但 功能 相同 ) 的 代码 ， 
这 给 病毒 诊断 带 来 很 大 困难 。 

#3. 保护 器 种 类 

保护 器 种 类 多 样 ， 有 公用 程序 、 商 业 程序 ， 还 有 专门 供 恶 意 代 码 使 用 的 保护 器 。 
商用 保护 器 : ASProtect, Themida, SVKP#, ° 
公用 保护 器 : UltraProtect, Morphine#, 

提示 一 
压缩 器 与 保护 器 在 代码 逆向 分 析 学 习 中 占有 非常 重要 的 地 位 。 开始 分 析 PE 文件 时 
必须 先 转 到 PE 文件 的 OEP 处 才 行 ， 这 就 要 求 分 析 者 拥有 大 量 相关 知识 。 此 外 ， 分 析 
压缩 器 与 保护 器 本 身 也 能 学 到 很 多 ， 对 提高 逆向 分 析 技 术 有 很 大 帮助 。 保 护 器 中 使 用 
的 反 调 试 技术 往往 水 平 非常 高 ， 需 要 具备 关于 CPU 与 OS 的 精深 知识 。 


14.3 ”运行 时 压缩 测试 
本 节 将 以 notepad.exe 为 例 进行 运行 时 压缩 测试 。 
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本 节 示 例 使 用 的 是 Windows XP SP3 中 的 notepad.exe 程序 





我 使 用 的 压缩 器 为 UPX， 它 操作 简单 、 功 能 强大 ， 且 完全 免费 ， 受 到 很 多 睐 。 
进入 http://upx.sourceforge.net 网 站 ， 下 载 “Win32 Console Version” 后 在 命令 行 窗口 运行 ， 
出 现 图 14-1 所 示 的 界面 ， 显 示 出 UPX 的 使 用 说 明 。 





WWINDOWSWsystem32Wcmd.exe 


)6789d41thULI I—qufkl1 l~o 








图 14-1 UPX 压 缩 器 


— exe 文 件 复制 到 工作 文件 夹 后 ， 使 用 如 图 14-2 所 示 的 命令 参数 ， 对 notepad.exe 文 件 
进行 运行 时 压缩 。 


EB CAWindowsisystem32Memd.exe 


@ Bi 
a8 ai 














图 14-2 ”notepad.exe 运 行 时 压缩 


从 列 出 的 压缩 摘要 中 可 以 看 到 ,压缩 后 BER 寸 明 显 减 小 了 (67584 一 48128 )。 若 使 用 ZIP 
压缩 ， 则 文件 大 小 缩减 为 35231。 pe 运行 时 的 压缩 率 要 比 普通 的 ZIP 压 缩 低 一 些 ,这 是 由 
于 其 压缩 后 得 到 的 是 PE 文件 ， 需 要 添加 PE 头 ， 并 且 还 要 放 人 解压 缩 代 码 。 
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比较 notepad.exe 5 notepad upx.exe 文件 


114-33 JA PESCPETUES EEAE2 SC BU SEE , IRI Y UPXJE 8 68 BJ F sa OHA 
同类 型 的 压缩 器 与 选项 ， 运 行 时 压缩 文件 的 形态 也 不 相同 )。 





notepad .exe notepad _upx.exe 
00000000 00000000 > DOSX 
00000040 E us $ 
Jot 00000040 DOS 存 根 
000000E0 000000E0 
NT 头 NT 关 
000001D8 节 区 头 ("text) 000001D8 SIX SKC-UPXO") 
00000200 * data") 00000200 Ei 
00000228 ^ 5 00000228 
5X 3 resrc") 
00000400 00000400 t HAC UPX0 
00000400 
HR(text) HACUPXT) 
00004A00 
00007C00 
HRC) 
00008400 
0000BC00 
00010800 





图 14-3 ”比较 notepad.exe 与 notepad_upx.exe 


notepad.exe 与 notepad upx.exe 的 比较 项 目 


: PE 头 的 大 小 一 样 (0-400h), 

" 节 区 名 称 改变 (*.text" —^ *"UPX0", *.data" — "*UPX1"), 
` 第 一 个 节 区 的 RawDataSize=0 (文件 中 的 大 小 为 0)。 

- EP 位 于 第 二 个 节 区 ( 原 notepad .exe 的 EP 在 第 一 个 节 区 )。 
-HRPE (.rsrc) 大 小 几乎 无 变化 。 


需要 引起 注意 的 是 ， 第 一 个 节 区 (UPXO) 的 RawDataSize 为 0， 即 第 一 个 节 区 在 磁盘 文件 中 
是 不 存在 的 。UPX 为 何 要 创建 这 个 空 的 节 区 呢 ? 下 面 使 用 PEView 查 看 第 一 个 节 区 头 ， 如 图 14-4 
所 示 。 


4 PEview - c;:WworkWnotepad upx.exe 
Ele View Go Help 
20000 mE woo 
is notepad upx.exe I ] .pFile _ Data Description 
IMAGE DOS HEADER 00600108 55 50 58 30 Name 
S Stub Program 
HEADERS 


EADER UPX1 5 asata, H R 
IMAGE SECTION HEADER rsrc C Pointer to Raw Data 
SECTION UPXD Pointer to Relocations 
ig SECTION UPX1 | D0000000 Pointer to Line Numbers 
i) SECTION rerc j| DO0001F8 0000 Number of Relocations 
000001FA 0000 Number of Line Numbers 


D000001FC E0000080 Characteristics 
00000080 











图 14-4 PEView 
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从 VirtualSize 值 可 以 发 现 蛛丝马迹 。 第 一 个 节 区 的 VirtualSize 值 况 被 设置 为 10000 (而 
SizeOfRawData 值 为 0 )。 这 就 是 说 ， 经 过 UPX 压 缩 后 的 PE 文件 在 运行 瞬间 将 (文件 中 的 ) 压缩 的 
代码 解压 到 ( 内 存 中 的 ) 第 一 个 节 区 。 说 得 更 详细 一 点 ， 解 压缩 代码 与 压缩 的 源 代 码 都 在 第 二 个 
节 区 。 文件 运行 时 首先 执行 解压 缩 代码 ,把 处 于 压缩 状态 的 源 代码 解压 到 第 一 个 节 区 。 解 压 过 程 
结束 后 即 运行 源 文件 的 EP 代码 。 

下 一 章 将 使 用 调试 器 调试 实际 的 解压 缩 过 程 。 


第 15 章 ”调试 UPX 压 缩 的 notepad 程 序 


本 章 将 调试 UPX 压 缩 的 notepad_upx.exe 程 序 ， 进 一 步 了 解 运 行 时 压缩 的 相关 概念 。 我 们 的 目 
标 是 通过 调试 一 点 点 地 跟踪 代码 ， 最 终 找 出 原 notepad.exe 程 序 代 码 。 最 后 再 简单 讲解 一 下 经 过 
UPX 压 缩 的 文件 如 何 通过 调试 器 。 
提示 
本 章 示 例 使 用 的 是 Windows XP SP3 中 的 notepad.exe 程序 。 





15.1 notepad.exe 的 EP 代码 
首先 看 一 下 原 notepad.exe 程 序 的 EP 代码 ， 如 图 15-1 所 示 。 























38 Hn 
ES BF010000 CALL notepad. 01007568 
33DB XOR EBX, EBX 
53 PUSH EBX phodule = "" 
8B3D CC100001 MOU EDI,DUORD PTR DS:[<&KERNEL32. [erne ldo Getriodu leHandlen 
FFD? CALL ED GetModu LeHandleR 
。 66:8138 4D5R CMP WORD PTR DS:[ERX1,SR4D 
av 75 1F JNZ SHORT notepad. 010073DA 
. 8B48 3C MOU ECX, DWORD PTR DS: [ERX+3C] 
a3sca ADD ECX, EAX 
. 8139 50450000 CMP DWORD PTR DS:CECX], 4550 
v 75 12 JNZ SHORT notepad. 0100 73 DR 
. BFB741 18 MOUZX EAX, WORO PTR DS: [ECX+1S] 
. 30 0B010800 CHP ERnx,10B 
.v 74 1F JE SHORT notepad. 010073F2 
. 3D 0B020000 CMP _EAX, 20B 
.v 74 05 JE SHORT notepad. 010073DF 
> 8950 E4 hoy DWORD PTR TEST EBX 
91007200 sv EB 27 P SHORT notepad. 01007406 
B188730DF| > 83B9 84000000 GE ene DWORD PTR DS: [EC O41, BE 
B10073E6| .^ 76 F2 JBE SHORT notepad.010073Dh 
91007sEƏ8] . 33C9 KOR EAX, EAX 
eiBavsEd| . 3999 FƏ8000000 CHP DWORD PTR DS:[ECX+F81,EBX 
016072FƏ| 。v EB GE JMP SHORT notepad. 01007400 
@19073F2| > 8379 74 OE CMP DWORD PTR DS: [ECX+74], 0E 
810072F61 .^ 76 E2 JBE SHORT notepad, 010073DA 


图 15-1 notepad.exe 的 EP 代码 


在 010073B2 地 址 处 调用 了 GetModuleHandleA() API, 获取 notepad.exe 程 序 的 ImageBase。 然后 
在 010073B4 与 010073C0 地 址 处 比较 MZ 与 PE 得 名。 希望 各 位 熟 记 原 notepad.exe 的 EP 代码 。 


15.2 notepad_upx.exe 的 EP 代码 
使 用 OllyDbg 打 开 notepad_upx.exe 时 ， 弹 出 图 15-2 所 示 的 警告 消息 框 。 





Compressed code? 








Q. Quick statistical test of module 'notepad_' reports that its code | 
section is either compressed, encrypted, or contains large 
amount of embedded data. Results of code analysis can be very | 
unreliable or simply wrong. Do you want to continue analysis? i 














图 15-2 aiye 息 框 
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调试 器 判断 该 文件 为 压缩 文件 ， 在 “是 ”与 “和 否 ” 中 任 选 一 个 ， 显 示 出 UPX EP 代码 ， 如 图 
15-3 所 示 。 





BE 9081008101 MOU ESI,notepad .01011009 
SDBE aaGaaFFFF|LER EDI, DWORD PTR DS:[LESI+FFFF00001 
5? PUSH EDÍ ntdll.?C940228 
OR EBP,FFFFFFFF 
JMI E SHÜRT notepad .B1815352 
NOP 


AL, BYTE PTR DS:[ESI] 

BSIE PTR DS: LEDIJ,RL 

EBY ,EBX 

= SHORT notepad .81015359 

EBX, DWORD PTR DS: [ESI] 

| SUB ESI, -4 

ADC _EBX, EBX 

asad notepad .818015348 

ADD EBX, EBX 

JZ SHORT notepad .01015368 

MOU EBX, DWORD PTR D0S:[ESI] 
B ESI, -4 

ADC EBX, EBX 

ADC EAX, EAX 

ADOD EBX, EBX 

JHE SHORT notepad .01015360 

JMZ SHORT notepad_ .6161537C 

MOY EBX, DWORD PTR DS:LESIJ 
B ESI, -4 

ADC EBX, EBX 

JNE SHORT notepad_. 01015368 

XOR ECX, ECX 

SUB 

JB SHORT notepad.. 61015390 

SHL EAX, 

MOU AL, BYTE PTR DS:[ESI] 

INC ESI 

XOR EBX,FFFFFF 

JE SHORT notepad.. 81815402 

MOU EBP,ERX 

ADO EBX, EBX 

JNZ SHORT notepad . 01015398 

MOU EBX, DORU PTR DS:[ESIJ 

SUB ESI, ~ 


图 15-3 notepad_upx.exe 的 EP 代 码 


EP 地 址 为 01015330， 该 处 即 为 第 二 个 节 区 的 末端 部 分 。 实 际 压缩 的 notepad 源 代码 存在 于 EP 
地 址 (01015330) 的 上 方 。 
下 面 看 一 下 代码 的 开始 部 分 (01015330 )。 


01015330 60 PUSHAD 
01015331 BE 00100101 MOV ESI, 01011000 
01015336 8DBE 0000FFFF LEA EDI, DWORD PTR DS: [ESI+FFFF0000] 


首先 使 用 PUSHAD 命 令 将 EAX~EDI 寄 存 器 的 值 保存 到 栈 ， 然 后 分 别 把 第 二 个 节 区 的 起 始 地 
hk (01011000 ) 与 第 一 个 节 区 的 起 始 地 址 (01001000 ) 设置 到 ESI 与 EDI 寄 存 器 。UPX 文 件 第 一 个 
节 区 仅 存 在 于 内 存 。 该 处 即 是 解压 缩 后 保存 源 文件 代码 的 地 方 。 

调试 时 像 这 样 同时 设置 ESI 与 EDI， 就 能 预见 从 ESI 所 指 缓冲 区 到 EDI 所 指 缓冲 区 的 内 存 发 生 
了 复制 。 此 时 从 Source ( ESI) 读 取 数据 ， 解 压缩 后 保存 到 Destination ( EDI), 我们 的 目标 是 跟踪 
图 15-3 中 的 全 部 UPX EP 代码 ， 并 最 终 找到 原 notepad 的 EP 代码 ， 如 图 15-1 所 示 。 


NOF 
NOP 
NOP 
NOP 
NOP 
Hou 
INC 
moy 
INC El ntdll.?C948228 
RDD 

INZ 

MOY 











提示 
e 代码 逆向 分 析 称 源 文 件 的 EP 为 OEP。 
e “跟踪” 一 词 的 含义 是 通过 逐一 分 析 代 码 进 行 追踪 。 
e 实际 的 代码 逆向 分 析 中 并 不 会 逐一 跟踪 执行 压缩 代码 ， 常 使 用 自动 化 脚本 、 特 
珠 技巧 等 找到 OEP。 但 是 对 于 初次 学 习 运 行 时 压缩 文件 的 朋友 而 言 ， 逐 一 跟踪 
代码 才 是 正确 的 学 习 方法 。 
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15.3 ”跟踪 UPX 文件 
下 面 开 始 跟 踪 代 码 ， 跟 踪 数 量 庞大 的 代码 时 ， 请 遵循 如 下 法 则 。 
“ 遇 到 循环 (Loop ) 时 ， 先 了 解 作 用 再 跳出 。 
整个 解压 缩 过 程 由 无 数 循 环 组 成 。 因 此 ， 只 有 适当 跳出 循环 才能 加 快速 度 。 


15.3.1 OllyDbg 的 跟踪 命令 


跟踪 数量 庞大 的 代码 时 ， 通常 不 会 使 用 Step Into(E7) 命 令 ， 而 使 用 OllyDbg 中 另外 提供 的 跟踪 


调试 命令 ， 如 表 15-1 所 示 。 
表 15-1 OllyDbg 的 跟踪 命令 





命 令 快捷 键 说 明 
Animate Into Ctrl+F7 反复 执行 Step Into 命 令 (画面 显示 ) 
Animate Over Ctrl+F8 反复 执行 Step Over 命令 (画面 显示 ) 
Trace Into Ctrl+F11 反复 执行 Step Into 命 令 (画面 不 显示 ) 
Trace Over Ctrl+F12 反复 执行 Step Over 命令 (画面 不 显示 ) 


除了 画面 显示 的 之 外 ， i eil 与 跟踪 命令 是 类 似 的 ,由 于 Animate 命 令 要 把 跟踪 过 程 显 
示 在 画面 中 , 所 以 执行 速度 略微 慢 一 些 。 而 两 者 最 大 的 差别 在 于 ,跟踪 命令 会 自动 在 事先 设置 的 
跟踪 条 件 处 停 下 来 ， 并 生成 日 在 UPX 文 件 跟踪 中 将 使 用 Animate Over(Ctrl+F8) 命 令 


15.3.2 ”循环 #1 
在 EP 代 码 处 执行 Animate Over(Ctrl+F8) 命 令 ， 开 始 跟踪 代码 。 可 以 看 到 光标 快速 上 下 移动 。 
若 想 停止 跟踪 ， 执 行 Step Into(F7) 命 令 即 可 。 
开始 跟踪 代码 不 久 后 ,会 遇 到 一 个 短 循环 。 暂 停 跟踪 ， 仔 细 查 看 相应 循环 ， 如 图 15-4 所 示 。 


norepad_.919153R0 jR iE 000 er 










eieissc?| .^ LE m 





JNB Ey 816153AD 





LER EDX, DORÉ FTR. ÜSr CEDT4EBPI —Ó—m€ 
CMP EBP,-4 ESP 5886FFRB 
HORT SEC EBP FFFFFFFE 






. pere 
. 88FD FC 













notepad .0101108£ 
hotepad. 01001001 


tepad . 01015300 















- x ' 2 ca t GIFFFFFFFF 

rer Ep è DOR s EN ERE Ds P1 bit GIFFFFFFFF 
el6153E6| . notepad .0101534E ne bit BfFFFFFFFF) 
81815968 3e NOP z ë Zbit @[FFFFFFFF) 
B10153EC| > 8B62 MOU EAX, DWORD PTR DS:[EDXJ sS o " azbir TFFDFOBOLFFF) 
$101S8EE| . 83C2 04 RDD EDX, 4 T à S 00900 NLLL 
&eieissFil| . 8907 nou ke PTR DS:LEDIJ,ERX Da 
91016S39F3| . 8307 @4 Q0 8 LascErr ERROR NO IMPESSONATION 







mi 


DS: 10100: 





EFL 62300206 (HO,NB,HE, A. NS, PE, GE, G 

















S1061600| ğü eO GB @Ə 68 O8 ğü GO Gü GƏ co G0| 08 CB o0 G0 

91001010 co ee oa galoa oa 60 gajo ea co ee 00 eo o0 eb 

eiecigze|eo eo oo 20| 四 80 60 9| oa eo ea eo|oo eo no e») 0996FFF9 

1091030| aa oa oa ga| 86 oo G0 gg| 88 o0 co g2| 88 on DO O0 9086FFC4 

S19018049| ao ca ea gajeg oo ay GO|GO ca ea eo QQ GO GO oa 7TFFO07006 
eieeiesa|ea ea oo 69 608 O0 O0 ee eo e eo os| sa co ea o6 PCSSEAP4| nta L.KlFastsys 
eieelece|ea eo ca go oo aa GO G9 Go ga cO 09| 28 ga ca GO DoorF Bn 

91e01070|e60 29 za egleo aa oo eolon ea ce 88| oe ea co ea tr MEE 


图 15-4 ”第 一 个 循环 
循环 次 数 ECX=36B , 循环 内 容 为 “从 EDX( 01001000 ) 中 读 取 一 个 字 节 写 人 EDI( 01001001 V. 
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EDI 寄 存 器 所 指 的 01001000 地 址 即 是 第 一 个 节 区 (UPX0 ) 的 起 始 地 址 , 仅 存 在 于 内 存 中 的 节 区 ( 反 


正 内 容 全 部 为 NULL )。 
调试 经 过 运行 时 压缩 的 文件 时 , 遇 到 这 样 的 循环 应 该 跳出 来 。 在 010153E6 地 址 处 按 F2 键 设置 


好 断 点 后 ， 按 F9 跳 出 循环 。 
15.3.3 ”循环 #2 


在 断 点 处 再 次 使 用 Animate Over(Ctrl+F8) 命 令 继续 跟踪 代码 ， 不 久 后 遇 到 图 15-5 所 示 的 循环 
C 比 前 面 那个 循环 略 大 一 些 )。 
















eieissEC| > | SB62 MOU ERX.DUORD PTR DS: [EDXJ a 

G161S3EE| . | 9sC2 04 RDD EDX, 4 ~ [Enx eneocene 

eieissFi| . | ss67 MOU DWORD PTR DS: CEDI],EAX ECX 868598888 

G10153F3| . | esc7 O4 ADD EDI,4 EDX 01014046 notepad .B1014D46 
B181S3F6| . | 83E9 04 SUB ECX,4 EDX eo2eonoG 

G18153F9| .^|?7 Fi JR SHORT 610153EC notepad .Q18153EC ESP GOOSFFnO 

&181SsFE| . |eicF RDD EDI,ECX EBP FFFFFFF2 


ESI O101532F notepad .0101S32F 
EDI REGES notepad .51614058 














M(18153FD| .^|E9 4CFFFFFF 9101534E — notepad.. 01801524E 


81915463| . &9F? MOU EDI, ESI novepad.. B11532F 














61915495| . B9 32010080  |MOU ECX, 132 EIP 01015402 notepad .81815402 
BlB1S49R| > BRB7 MOU RL,BYTE PTR DS: CEDI] co BLFFFFFFFF) 
BiBlB4OC| . 47 INC'EDI notepad. 81014058 Pa it @(FFFFFFFF) 
&iGiS40D| 。 2C ES SUB AL, GES ne - G(FFFFFFFF) 
8f8l546F| > 3C Ol CHP RL,1 gpf? 1 Ds eaes 32bit @(FFFFFFFF) 
B1815411| .^ 7v F? JA SHORT 81015408 norepad_,ola1546n GiS 。 Fs nase sapi. ?FFDF000(FFF) 
e1B1S412| . B@sF Di CHP BYTE PTR DS: CEDI], 1 T 0 6S 6800 NULL 

B1815416| .~ 75 F2 JNZ SHORT 01015400 notepad -01801540A De 

81815418| . 8887 MOU ERX,DUORD PTR DS: [EDI] |o © LastErr ERROR_NO_INPERSONAT 


G1A15410 ROCF aa MA RI RUTE PTR ne.rgnr+a1 
T 


EFL 20880246 (HD,NBE,E,BE, NS, PE, G 


Ži 







STA empty -UNOR D1D8 01050104 8 

















36BcFFR4 7C946208| ntdl l. 77940; 





















































9410687669| 18 98 81 SD S5 68 FD FF FF 50 FF Dé 8D 85 28 FC 
al6s7ele| FF FF 50 8D 85 68 FD FF FF S0 FF D6| 39 SD 68 74 Senerroa 

B1887626| 9 57 80 8S 68 FD FF FF S@ FF Dé SD 8S 68 FD FF|.Uggh? P ?0? _ | eaaerrnac 

8ieg7eSR|FF S8 6A 91 68 C2 00 00 O0 FF 35 38 98 00 O1 FF| Pj0h?.. 5870 Bj 9eoerre» 

G1G807ü4G|i5 40 12 00 01 8B 4D FC SF SE SB E8 01 O0 61 43|$8$.0mr?^[?.aC 8686FFB4 

01897A52|C9 C2 04 GB CC CC CC CC CC 8B FF SS 8B EC 56 33| ema? Umu 8966FFB8 | 7C93E4F4 ntdll.KlFasi 
G1097066|F6 33 C9 46 33 D2 39 4D OC 7E 35 8B 45 08 8n 04|??37. 5m0? 9886FFBC 

B189767g| 81 84 CO 79 92 33 Fé 85 D2 76 10 3C| 88 72 13 Dü 6may83??herll os | kee 

G1807090|EB 42 84 CO 78 F9 4A 74 17 EB 97 24 C@ 3C 80 75| ?=msn?tt?s?'u 8886FFC4 | TCO17867 RETURM to ke 
G1G007090|0F 4A 41 3B|40 GC 7C D3 85 D2 ?7 84| 85 F6 74 Od|*JR; M. |??e tte ig|eenerrce | vcs«ozes|nedii.vc948: 


图 15-5 第 二 个 循环 


该 循环 是 正式 的 解码 循环 (或 称 为 解压 缩 循 环 )。 
先 从 ESI 所 指 的 第 二 个 节 区 ( UPX1 ) 地 址 中 依次 读 取 值 ， 经 过 适当 的 运算 解压 缩 后 ,将 值 写 
人 EDI 所 指 的 第 一 个 节 区 (UPX0 ) 地 址 。 该 过 程 中 使 用 的 指令 如 下 : 


0101534B 8807 MOV BYTE PTR DS:[EDI],AL 
0101534D 47 INC EDI 

010153E0 ` 8807 MOV BYTE PTR DS:[EDI],AL 
0101532 | 47 INC EDI 

010153F1 8907 MOV DWORD PTR DS: [EDI], EAX 


010153F3 83C7 04 ADD EDI,4 


* 解压 缩 后 的 数据 在 AL(EAX) 中 ，EDI 指 向 第 一 个 节 区 的 地 址 。 

只 要 在 01015402 地 址 处 设置 好 断 点 再 运行 ， 即 可 跳出 第 二 个 循环 ， 如 图 15-5 所 示 。 运 行 到 
01015402 地 址 后 ， 在 转 储 窗口 中 可 以 看 到 解压 缩 后 的 代码 已 经 被 写 和 第 一 个 节 区 (UPX0 ) 区 域 
(01007000 )， 如 图 15-5 中 原来 用 NULL 填 充 的 区 域 。 
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15.3.4 ”循环 #3 
重新 跟踪 代码 ， 稍 后 会 遇 到 图 15-6 所 示 的 第 三 个 循环 。 


[3] CPU - main thread, module notepad 





图 15-6 第 三 个 循环 


该 段 循环 代码 用 于 恢复 源 代码 的 CALL/JMP 指 令 ( 操作 码 : ES/E9) 的 destination 地 址 。 在 
01015436 地 址 处 设置 断 点 运行 后 即 可 跳出 循环 。 
到 此 几乎 接近 尾声 了 ， 只 要 再 设置 好 IAT，UPX 解 压缩 代码 就 结束 了 。 
对 于 普通 的 运行 时 压缩 文件 ， 源 文件 代码 、 数 据 、 资 源 解 压缩 之 后 ， 先 设置 好 IAT 
再 转 到 OEP。 


15.8.5 ”循环 #4 


重新 跟踪 代码 ， 再 稍微 进行 一 段 。 
图 15-7 深 色 显 示 的 部 分 即 为 设置 IAT 的 循环 。 在 01015436 地 址 处 设置 EDI=01014000, 它 指向 第 
二 个 节 区 (UPX1 ) 区 域 ， RR exe 调 用 的 API 函 数 名 称 的 字符 串 ( 参考 图 15-8 )。 


E SHORT notepad .0181543C 


SHORT notepad 01015478 


ALL DuORD PTI DS EC. ernel32.EnitProce 
EBP, DWORD PTR DS: [ESI+1BED4] kernel32.UirtualProtect 
LER E ponn PTR DS:LESI-1000] 





AtATFASA| | [PIRH FSP 


图 15-7 第 四 个 循环 
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2| 58..?..GG6etCurr 
64 entThreadId.GGet 

62 6B 43 EF 75 6E 74 BB B1 51 75 65 72 79|TickCount. 0Query 

5 72 66 SF 72 6D 61 6E 63 65 122 EF 75 6E ?4|PerformanceCount 











65 50 72 6F 63 65 73 73 0B B1 47 65 74 43 75| teProcess.BGetCu 


图 15-8 ”API 名 称 字符 串 


UPX 压 缩 原 notepad.exe 文 件 时 ， 它 会 分 析 其 IAT， 提 取出 程序 中 调用 的 API 名 称 列 表 ， 形 成 
API 名 称 字符 串 。 

用 这 些 API 名 称 字符 串 调用 图 15-7 中 01015467 地 址 处 的 GetProcAddress() 函 数 ， 获 取 API 的 起 
始 地 址 ， 然 后 把 API 地 址 输入 EBX 寄 存 器 所 指 的 原 notepad.exe 的 IAT 区 域 。 该 过 程 会 反复 进行 至 
API 名 称 字 符 串 结束 ， 最 终 恢 复原 notepad.exe 的 IAT。 

notepad.exe 全 部 解压 缩 完 成 后 ， 应 该 将 程序 的 控制 返回 到 OEP 处 。 图 15-9 显 示 的 就 是 跳 转 到 
OEP 的 代码 。 


aiai4acra 





aigicz4nn 


FüPRD 
B1GIt4HE PUSH B ,DWORD PTR SS: [ESF-881 


CHP ESP, EAX 
.^ BUE Ps SHORT _ ,Dotepad.. 601015462 


`- | JMP Po eaaa 60100739D JUMP to DEP 





B11EIBS 





图 15-9 JUMP to OEP 


另外 ，010154AD 地 址 处 的 POPAD 命 令 与 UPX 代 码 的 第 一 条 PUSHAD 命 令 对 应 ， 用 来 把 当前 
ap. 参考 图 15-3 )。 
最 终 ， 使 用 010154BB 地 址 处 的 JMP 命 令 跳 转 到 OEP 处 ， 要 跳 转 到 的 目标 地 址 为 0100739D， 
它 就 是 原 notepad.exe 的 EP 地 址 ( 请 各 位 确认 )。 


15.4 快速 查找 UPX OEP 的 方法 


各 位 都 像 上 面 这 样 顺利 完成 代码 跟踪 了 吗 ? 代码 道 向 技术 的 初学 者 一 定 要 亲自 试 试 , 这 有 助 
于 调试 用 其 他 压缩 器 压缩 的 文件 。 但 每 次 都 使 用 上 述 方法 〈 跳 出 循环 ) 查找 OEP 非 常 麻烦 ， 实 际 
代码 逆向 分 析 中 有 一 些 更 简单 的 方法 可 以 找到 OEP〈 以 UPX 压 缩 的 文件 为 例 )。 


15.4.1 在 POPAD 指令 后 的 JMP 指令 处 设置 断 点 


UPX 压 缩 器 的 特征 之 一 是 , 其 EP 代码 被 包含 在 PUSHAD/POPAD 指 令 之 间 , 并 且 , 跳 转 到 OEP 
代码 的 JMP 指 令 紧 接着 出 现在 POPAD 指 令 之 后 。 只 要 在 JMP 指 令 处 设置 好 断 点 ,运行 后 就 能 直接 
找到 OEP。 


e PUSHAD 指令 将 8 个 通用 寄存 器 ( EAX~EDI ) 的 值 保存 到 栈 。 
e POPAD 指令 把 PUSHAD 命令 存储 在 栈 的 值 再 次 恢复 到 各 个 寄存 器 。 
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15.4.3 ”在 栈 中 设置 硬件 断 点 


该 方法 也 利用 UPX 的 PUSHAD/POPAD 指 令 的 特点 。 在 图 15-3 中 执行 01015330 地 址 处 的 
PUSHAD 命 令 后 ， 查 看 栈 ， 如 图 15-10 所 示 。 





ECX BaocFFEGO 

EDX 7C93E4F4 ntdll.KiFastSustemCallRet 
EBX 7FFD3000D 

ESF aBaeFFn4 

EBP @@Ə6FFFü 

ESI FFFFFFFF 

EDI ?C9402808 ntdll.7C948205 


EIP 81815331 notepad .01015331 







8886FFR4 
DBBEFFR3 
GBOEFFAC 
aaaocFFBa 
BBBEFFB4 
BaaeFFBS 


7C948208|ntdll.?C940208 





TC98bE4F4| ntdll.KiFastSystemCal Ret 


图 15-10 执行 PUSHAD 指 令 后 栈 的 情况 


EAX 到 EDI 寄 存 器 的 值 依 次 被 存储 到 栈 。 从 OllyDbg 的 Dump 窗 口 进入 栈 地 址 ( 006FFA4 )。 将 
鼠标 光标 准确 定位 到 6FFA4 地 址 ， 使 用 鼠标 右键 菜单 设置 硬件 断 点 ， 如 图 15-11 所 示 。 









9BB6FFR4 


2 QA 2 LC CE CR EC CO ER. DA Qí. 
OO86FFE4 Backup 上 
896cFFcd|e Copy k 
888EFFD4 ' 
G806FFE4 Binary » 










5BB6FFF4 pemon. on access 


Search for + Memory, on write 
Follow DWORD in Disassembler y " 


| 

| access 
Follow DWOBD In Dump | men on write 
| Goto 上 


Hardware, on execution 














图 15-11 ”硬件 断 点 


硬件 断 点 是 CPU 支 持 的 断 点 ， 最 多 可 以 设置 4 个 。 与 普通 断 点 不 同 的 是 ,设置 断 点 的 指令 执 
行 完成 后 才 和 暂停 调试 。 在 这 种 状态 下 运行 ， 程 序 就 会 边 解 压缩 边 执 行 代码 ， 在 执行 POPAD 的 瞬 
间 访 问 设置 有 人 硬件 断 点 的 0006FFA4 地 址 ,然后 暂停 调试 。 其 下方 即 是 跳 转 到 OEP 的 JMP 指 令 ( 2 
悉 该 方法 的 操作 原理 才能 在 以 后 调试 各 种 文件 时 得 心 应 手 )。 


15.5 小结 
前 面 学 习 了 有 关 调试 UPX 运 行 时 压缩 文件 的 内 容 。 建 议 各 位 参照 书 中 讲解 亲自 操作 ,通过 逐 


一 跳出 各 循环 的 方法 查找 OEP。 经 过 这 样 一 系列 的 实际 操作 后 ， 相 信 各 位 的 调试 水 平 都 会 得 到 很 
大 提高 。 
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Q. 解压 缩 (Unpacking) 过程 中 打开 Dump 窗 口 ， 若 不 重新 设置 |AT 就 会 出 现 初始 化 错误 。 
这 到 底 是 怎么 一 回 事 ? 
A. 比如 ,运行 UPX 文 件 后 转 储 时 ，LAT 中 存在 (对 应 于 当前 系统 的 ) 准确 的 API 地 址 。 但 是 
INT 却 处 于 损坏 状态 。 
PE 装载 器 使 用 INT 中 的 API 名 称 字符 串 ( LoadLibrary()/GetProcAddress() ) 来 获取 实际 API 
地 址 ， 并 将 它们 记录 到 IAT。 由 于 INT 已 经 损坏 ， 该 过 程 中 自然 会 发 生 错误 。 
. 很 多 汇编 指令 都 不 懂 ， 请 介绍 可 以 查找 汇编 指令 的 网 站 吧 ， 谢 谢 ! 
.此 时 ， 我 通常 会 去 查 Intel 的 官方 文档 : http://www.intel.com/products/processor/manuals/。 
. 如 何 知道 ESI、EDI 所 指 的 地 址 对 应 于 哪个 节 区 的 地 址 呢 ? 我 想 知道 该 如 何 才能 识别 出 恢 
复 IAT 的 代码 以 及 解码 循环 。 
. 内 存 复制 命令 中 ，ESI 指 Source，EDI 指 Destination。 所 以 使 用 PEView ( 或 者 OllyDbg 的 内 
存 映射 窗口 ) 查看 ESI/EDI 所 指 的 地 址 ， 即 可 知道 它们 对 应 的 节 区 。 
从 反复 调用 GetProcAddress() 函 数 可 知 ， 这 是 在 恢复 文件 的 IAT。 此 外 ， 如 果 拥 有 丰富 的 
解压 缩 经 验 ， 就 更 容易 预测 ， 这 是 刚刚 接触 的 人 无 法 企及 的 。 
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PE 文件 在 重 定位 过 程 中 会 用 到 基 址 重 定位 表 (Base Relocation Table )， 本 章 将 学 习 其 结构 及 
操作 原理 。 


16.1 PE 重 定 位 


向 进程 的 虚拟 内 存 加 载 PE 文 件 ( EXE/DLL/SYS ) 时 , 文件 会 被 加 载 到 PE 头 的 ImageBase 所 指 的 
地 址 处 。 若 加 载 的 是 DLL (SYS) 文件 ， 且 在 ImageBase 位 置 处 已 经 加 载 了 其 他 DLL (SYS) 文件 ， 
那么 PE 装载 器 就 会 将 其 加 载 到 其 他 未 被 占用 的 空间 。 这 就 涉及 PE 文件 重 定位 的 问题 ，PE 重 定位 
是 指 PE 文件 无 法 加 载 到 ImageBase 所 指 位 置 , 而 是 被 加 载 到 其 他 地 址 时 发 生 的 一 系列 的 处 理 行为 。 

Tez ——— "T iar 
使 用 SDK ( Software Development Kit， 软 件 开发 工具 包 ) 或 Visual C++ 创建 PE 文 
件 时 , EXE 默认 的 ImageBase 为 00400000, DLL 默认 的 ImageBase 为 10000000. 此 外 ， 
使 用 DDK( Driver Development Kit, 驱动 开发 工具 包 ) 创 建 的 SYS 文件 默认 的 ImageBase 
为 10000。 


16.1.1 DLL/SYS 


请 看 图 16-1，A.DLL 被 加 载 到 TESTEXE 进 程 的 10000000 地 址 处 。 此 后 ，B.DLL 试 图 加 载 到 相 
同 地 址 ( 10000000 ) 时 ，PE 装 载 器 将 B.DLL 加 载 到 另 一 个 尚未 被 占用 的 地 址 (3C000000 ) 处 。 


TEXTEXE 





B.DLL 


ImageBase : 10000000 


PURSE 


Base: 1000000 


图 16-1 DLL 重 定位 
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16.1.2 EXE 
创建 好 进程 后 ，EXE 文 件 会 首先 加 载 到 内 存 ， 所 以 在 EXE 中 无 须 考虑 重 定位 的 问题 。 但 是 
Windows Vista 之 后 的 版 本 引入 了 ASLR 安 全 机 制 ， 每 次 运行 EXE 文 件 都 会 被 加 载 到 随机 地 址 ， 这 


样 大 大 增强 了 系统 安全 性 。 
图 16-2 是 分 别 运 行 3 次 notepad.exe 时 的 截图 , 可 以 明显 发 现 , 每 次 运行 时 程序 都 被 加 载 到 不 同 


地 址 。 





74788808| 0008900808 757B1229| VERSION |6.1.7688.16385 | 
mege , 





6FCD69969| 99951896| 6FCF9835 WINSPOOL 6 .1.7608.16385 
| 74218888| 80919E080 74243731 COHCTL32|6.18 (uin7 rtm. ， 
77B0000| 00009000| 747B1220| VERSION |6.1.7600.16385 |=. 


"Ki 
EA 








SURGE Qus EA LE E E E AA papas 


图 16-2 ”notepad.exe 文 件 的 ASLR 


提示 
ASLR 机 制 也 适用 于 DLL/SYS 文件 。 对 于 各 OS 的 主要 系统 DLL， 微 软 会 根据 不 

同 版 本 分 别 赋予 不 同 的 ImageBase 地 址 。 同 一 系统 的 kernel32.dll_ user32.dll 等 会 被 加 

载 到 自身 固有 的 InageBase， 所 以 ， 系 统 的 DLL 实际 不 会 发 生 重 定位 问题 。 


Windows Vista/7 的 系统 DLL 虽然 也 拥有 自身 固有 的 ImageBase， 但 是 ASLR 机 制 使 每 次 启动 时 
加 载 的 地 址 都 不 尽 相同 。 关 于 ASLR 的 详细 内 容 请 参考 第 41 章 。 


16.2 PE 重 定位 时 执行 的 操作 


下 面 以 Windows7 的 notepad.exe 程 序 为 例 ， 看 看 PE 重 定位 时 都 发 生 了 什么 。 如 图 16-3 所 示 ， 
notepad.exe 的 ImageBase 为 01000000。 

接 下 来 ,使 用 OllyDbg 运 行 notepad.exe 程 序 。 

图 16-4 是 Windows7 中 notepad.exe 的 EP 代码 部 分 。 在 Windows 7 的 ASLR 机 制作 用 下 ， 程 序 被 
加 载 到 0028000 地 址 处 。 从 图 中 指令 可 以 看 到 ， 方 框 中 进程 的 内 存 地 址 以 硬 编码 形式 存在 。 地 址 
2810FC、281100 是 .text 节 区 的 IAT 区 域 ， 地 址 28COA4 是 .data 节 区 的 全 局 变量 。 每 当 在 OllyDbg 中 
重启 notepad.exe ( Restart(Ctrl+F2) )， 地 址 值 就 随 加载 地 址 的 不 同 而 改变 。 像 这 样 ， 使 硬 编码 在 程 
序 中 的 内 存 地 址 随 当 前 加 载 地 址 变化 而 改变 的 处 理 过 程 就 是 PE 重 定位 。 
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Mew Go Help 











Data Description 
916B Magic IMAGE NT OPTIO: 
es Major Linker Version 


E notepad.exe 
| IMAGE DOS HEADER 
MS-DOS Stub Program 










|| B IMAGE NT HEADERS 90 Minor Linker Version 

1 Signature 9000A880 Size of Code 

j| IMAGE FILE HEADER 000224800 Size of Initialized Data 
v 5i 90866666 Size of Uninitialized Data 








00003689 Address of Entry Point 
00001000 Base of Code 
eoegsceoe Base of Data 





IMAGE SECTION HEADER .text 
IMAGE SECTION HEADER .data 
IMAGE SECTION HEADER .rsrc 
IMAGE SECTION HEADER .reloc 
BOUND IMPORT Directory Table 
BOUND IMPORT DLL Names 
SECTION .text 

SECTION .data 

(g SECTION .rsrc 

i$ SECTION .reloc 

















@@@@911C 00000200 File Alignment 
90000120 09606 Major 0/S Version 
90000122 9001 Minor O/S Version 
90008124 0006 Major Image Version 
090000126 0001 Minor Image Version 
90000128 9006 Major Subsystem Version 
00000912A 60001 Minor Subsystem Version 
90000000 Win32 Version Valu 


j 
1 
| 
| IMAGE OPTIONAL HEADER 
ü 
| 
|| 
Í 
| 





i 








































| - 6A 58 PUSH 58 
90283690 | . 68 n0372800 | PUSH 283700 
88283695 | . E8 72059008 |CALL 80283B0C 09028380C 
98283698 | . 33DB XOR EBX,EBX 
j|sa28269c | . 8950 Es MOU DWORD PTR SS:[EBP-1C],EBX 
||se2aseor | . 8950 rc HOU DWORD PTR SS:[EBP-],EBX 
||902836n2 | . 8045 98 LER ERX,DWORD PTR SS:[EBP-68] 
|| 88283685 . 50 PUSH EAX | spesies = kerne132.BaseThr, 
|sez8968s | . "o CALL DWORD PTR DS GetStartupInfon 
B82836AC | . 0745 F | HOU DWORD PTR SS: 7 
|08283683 | . C745 FC 01000000 MOU DWORD PTR SS:[EBP-^],! 
|| sszsa6Bn | . 64:A1 18000000  |MOU ERX,DUORD PTR FS:[18] 
f oo2s36c0 | . 8870 ou MOU ESI, DWORD PTR DS:[EAX+4] 
09283603 | . BF SCC22800 MOU EDI,28C25C 
|ss»ascs | > 6n Bo PUSH 8 Arga 
Q002836c0 | . 56 |PUSH EST Arg2 
egzs36ce | . 57 PUSH EDI Argt 
B82836CC | . FF15 [89112889] SU] catt DWORD PTR os qe] InterlockedConpareExchange 
|09283602 | . esco —— — TEST EX ,EX — kerne132.BaseThreadInitThunk 
| sezss6pu | .. OFS5 36350000  |JN2 00286C10 0928610 
| sezs36pa | . 33F6 XOR ESI,ESI 
|002836DC | . 46 INC ESI 
98283600 | > m MOU ERX,DWORD PTR os sesi 
| 9928365E2 |. 38 |CMP ERX,ESI š | 
gH2836E4 | .. OF | JE 00286C2E 00286C2E 
982836Eh | . Soa [MOU EAX,DWORD PTR os mai 


图 16-4 notepad.exe 的 EP 代 码 
无 法 加 载 到 ImageBase 地 址 时 ， 若 未 进行 过 PE 重 定 位 处 理 ， 应 用 程序 就 不 能 正常 运行 BUE 
生 “ 内 存 地址 引用 错误 ”， 程 序 异 常 终止 )。 
提示 
在 Notepad.exe 文件 中 查找 图 16-4 中 显示 的 EP 区 域 。 
比较 图 16-4 与 图 16-5 中 显示 的 硬 编码 地 址 ， 归 纳 整 理 如 下 表 16-1 所 示 。 


表 16.1 文件 与 进程 内 存 中 显示 的 硬 编码 地 址 





文件 (ImageBase: 01000000) HEA mitik: 00280000) 
010010FC 002810FC 
01001100 00281100 
0100C0A4 0028C0A4 


图 16-5 中 硬 编 码 的 地 址 以 InageBase( 01000000 ) 为 基准 。 生 成 (构建 )notepad.exe 
文件 时 ， 由 于 无 法 预测 程序 被 实际 加 载 到 哪个 地 址 ， 所 以 记录 硬 编 码 地 址 时 以 
ImageBase 为 基准 。 但 在 运行 的 瞬间 ， 经 过 PE 重 定位 后 ， 这 些 地 址 全 部 以 加 载 地 址 为 
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基准 变换 ， 最 后 程序 得 以 正常 执行 而 不 发 生 错 误 。 






I rese 
dj notepad.exe | cse pauper m 
|| Offset(h) eg e1 02 03 @4 05 06 07 08 09 GA 0B ƏC GD et or 
| 60002450 8B FF 55 BB EC 56 BB 75 08 33 CO 3B 75 0C 73 11 《9 
00002470 85 CƏ 75 8D BB @E 85 C9 74 02 FF D1 83 C6 O4 EB 

E EA 5E 5D C3 ES C$ Fa FF FF 5A 

















| 
i 








了 本 M ce i 
çO 61 6B 99 37 09 0l EB 54 FF FF FF 59 59 85 CO E 
Block 2A89-2AEE 











图 16-5 iipit aPN 


接 下 来 了 解 一 下 PE 文件 的 重 定位 操作 原理 。 


16.3 PE 重 定位 操作 原理 
Windows 的 PE 装载 器 进 和 了 PE 重 定位 处 理 时 ， 基 本 的 操作 原理 很 简单 。 


PE 重 定位 的 基本 操作 原理 


` 在 应 用 程序 中 查找 硬 编码 的 地 址 位 置 。 
- 读 取 值 后 ， 减 去 ImageBase (VA-RVA), 
“加 上 实际 加 载 地 址 (RVASVA), 


其 中 最 关键 的 是 查找 硬 编码 地 址 的 位 置 。 查 找 过 程 中 会 用 到 PE 文件 内 部 的 Relocation Table 
它 是 记录 硬 编码 地 址 偏 移 (位置 ) 的 列表 ( 重 定 位 表 是 在 PE 文件 构建 过 程 (编译 / 
链接 ) 中 提供 的 )。 通 过 重 定位 表 查 找 ， 其 实 就 是 指 根据 PE 头 的 “ 基 址 重 定 位 表 ” 项 进行 的 查找 。 


基 址 重 定位 表 
基 址 重 定位 表 地 址 位 于 PE 头 的 DataDirectory 数 组 的 第 六 个 元 素 ( 数组 索引 为 5 ), 如 图 16-6 所 示 。 
IMAGE NT_HEADERSNMAGE OPTION HEADERNMAGE DATA DIRECTORY[5] 


( 重 定位 表 )， 


16.3.1 


在 PEView 中 查看 notepad.exe 的 基 址 重 定 位 表 地 址 。 












Data Description 
0000014C 00001000 Size of Heap Commit 

Loader Flags 

Number of Data Directories 

00000158 00000000 RVA EXPORT Table 
0000015C 00000000 — Size 












IMPORT Table 

00000164 00000012C Size 

00000168 0000F000 RVA RESOURCE Table 

0000016 0001F160 Size 
00000000 








EXCEPTION Table 
00000174 00000000 _ Size 





CERTIFICATE Table 









DEBUG Directory 






0000018C 00000038 Size 





Architecture Specific Data 
00000194 00000000 — Size 


图 16-6 ” 基 址 重 定位 表 地 址 





163 PE 重 定 位 操作 原理 139 


图 16-6 中 基 址 重 定位 表 的 地 址 为 RVA 2F000。 使 用 PEView 查 看 该 地 址 ， 如 图 16-7 所 示 。 











RVA Data Description Value 

ODOZFUDU ONO1000 RVA ot Block 

0002F004 00000150 Size of Block 

0002F008 3420 Type RVA 00001420 IMAGE_REL_BASED_HIGHLOW 
0002F00A 342D Type RVA 0000142D IMAGE_REL_BASED_HIGHLOW 
0002F00C 3436 Type RVA 00001435 IMAGE_REL_BASED_HIGHLOW 
0002F00E 3461 Type RVA 00001461 IMAGE REL BASED HIGHLOW 
0002F010 3467 Type RVA 00001467 IMAGE_REL_BASED_HIGHLOW 
0002F012 3475 Type RVA 00001475 IMAGE REL BASED HIGHLOW 
0002F014 347B Type RVA 0000147B IMAGE REL BASED HIGHLOW 
0002F016 349D Type RVA 0000149D IMAGE_REL_BASED_HIGHLOW 
0002F018 34AF Type RVA 000014AF IMAGE_REL_BASED_HIGHLOW 
0002F01A 34B5 Type RYA 000014B5 IMAGE REL BASED HIGHLOW 
0002F01C 34BB Type RVA 000014BB IMAGE REL BASED HIGHLOW 
0002F01E 34C9 Type RVA 000014C9 IMAGE REL BASED HIGHLOW 
0002F020 3403 Type RVA D00014D3 IMAGE REL BASED HIGHLOW 


图 16-7 基 址 重 定位 表 


16.3.2 IMAGE_BASE_RELOCATION 结构 体 


图 16-7 的 基 址 重 定位 表 中 罗列 了 硬 编码 地 址 的 偏 移 ( 位置 )。 读 取 这 张 表 就 能 获得 准确 的 硬 
编码 地 址 偏 移 。 基 址 重 定位 表 是 IMAGE BASE RELOCATION 结 构 体 数组 。 
IMAGE BASE RELOCATION 结 构 体 的 定义 如 下 。 


// 
// Based relocation format. 


// 


typedef struct IMAGE BASE RELOCATION í 
DWORD X VirtualAddress; 
DWORD . SizeOfBlock; 
// WORD TypeOffset[1]; 
) IMAGE BASE RELOCATION; 
typedef IMAGE BASE RELOCATION UNALIGNED * PIMAGE BASE RELOCATION; 


// 
// Based relocation types. 


// 


#define IMAGE REL BASED ABSOLUTE 
#define IMAGE REL BASED HIGH 

#define IMAGE REL BASED LOW 

define IMAGE REL BASED HIGHLOW 
#define IMAGE REL BASED HIGHADJ 
define IMAGE REL BASED MIPS JMPADDR 
define IMAGE REL BASED MIPS JMPADDR16 
define IMAGE REL BASED IA64 IMM64 
#define IMAGE REL BASED DIR64 出 处 ，MS SDK 的 WinNT.h 


IMAGE_BASE_RELOCATION 结 构 体 的 第 一 个 成 员 为 VirtualAddress， 它 是 一 个 基准 地 址 (Base 
Address) ， 实 际 是 RVA 值 。 第 二 个 成 员 为 SizeOfBlock， 指 重 定位 块 的 大 小 。 最 后 一 项 TypeOffset 
数组 不 是 结构 体 成 员 ， 而 是 以 注释 形式 存在 的 ， 表 示 在 该 结构 体 之 下 会 出 现 WORD 类 型 的 数组 ， 
并 且 该 数组 元 素 的 值 就 是 硬 编码 在 程序 中 的 地 址 偏 移 。 


16.3.3” 基 址 重 定位 表 的 分 析 方 法 
表 16-2 列 出 了 图 16-7 中 基 址 重 定位 表 的 部 分 内 容 。 


OO OG RUNKIG 


= 
e 
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表 16-2” 基 址 重 定 位 表 节 选 


RVA Ao d ik WR 
0002F000 00001000 VirtualAddress 
0002F004 00000150 SizeOfBlock 
0002F008 3420 TypeOffset 
0002F00A 342D TypeOffset 


0002F00C 3436 TypeOffset 


由 IMAGE BASE RELOCATION 结 构 体 的 定义 可 知 ，VirtualAddress 成 员 ( 基准 地 址 ) 的 值 为 
1000，SizeOfBlock 成 员 的 值 为 130。 也 就 是 说 ， 表 16-2 中 显示 的 TypeOffest 数 组 的 基准 地 址 ( 起 始 
地 址 ) 为 RVA 1000, 块 的 总 大 小 为 150( 这 些 块 按照 基准 地 址 分 类 ， 以 数组 形式 存在 )。 块 的 末端 
显示 为 0。TypeOffset 值 为 2 个 字 节 (16 位 ) 大 小 ， 是 由 4 位 的 Type 与 12 位 的 Offset 合 成 的 。 比 如 ， 
TypeOffset 值 为 ?420， 解 析 如 表 16-3 所 示 。 


表 16-3 TypeOffset 


类 型 (4 位 ) 偏 移 〈12 位 ) 
3 420 





高 4 位 用 作 Type，PE 文 件 中 常见 的 值 为 3 (IMAGE REL BASED HIGHLOW )，64 位 的 PE+ 
文件 中 常见 值 为 A (IMAGE REL BASED DIR64 )。 

提示 一 一 一 一 一 一 一 一 一 mm 一 一 
在 恶意 代码 中 正常 修改 文件 代码 后 ， 有 时 要 修改 指向 相应 区 域 的 重 定位 表 (为 了 略 去 
PE 装载 器 的 重 定位 过 程 ， 常 常 把 Type 值 修改 为 0 (IMAGE REL BASED ABSOLUTE ))。 








TypeOffset 的 低 12 位 是 真正 的 位 移 ， 该 位 移 值 基于 Virtual Address 的 偏 移 。 所 以 程序 中 硬 编码 
地 址 的 偏 移 使 用 下 面 等 式 换算 。 


VirtualSize(1000)+Offset(420)=1420(RVA) 
下 面 看 一 下 RVA 1420 处 是 否 实际 存在 要 执行 PE 重 定位 操作 的 硬 编码 地 址 ， 如 图 16-8 所 示 。 























|| 88AF 1414 kernel32.BaseThreadInitThunk 


33C0 XOR EAX,EAX 
||scar1516 | 8975 Es MOU DWORD PIR SS:[EBP-1C],ESI 
|] 00AF41419 | 8D7D E8 LEA EDI,DWORD PTR SS:[EBP-18] 
||ssar1i&ic | F3:nB ES:[EDI 







PUSH ESI 


| BBAF 15354 
|| 86AF 1436 


HOAF 1542 
|| 888F4553 








88RF153C |. 











BF8C BR65O0DOGD 


53 
FF75 14 





CALL DWORD PTR os CAE | 
TEST ERX,ERX " 
JL 8BRF19FC 


PUSH EBX 
PUSH DWORD PTR SS:[EBP*14] 


图 16-8 ” 硬 编 码 地 址 示例 





|| 8800F1425 | 56 
(| egar1a25 | 56 PUSH ESI 

|| 00AF1426 PUSH 1 

|| aenr 1528 PUSH ESI 

| BOAF 1429 MOU EDI,ERX kerne132.BaseThreadInitThunk 
|| saF 1428 CALL DWORD PTR vs [rra] kerne132.HeapSetInformation 
| 888F4534 PUSH 2 š 

| 800F1533 | 56 PUSH ESI 


01e32.CoInitializeEx 
kerne132.BaseThreadInitThunk 
B8RF19FC 
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图 16-8 中 notepad.exe 被 加 载 到 AF0000 地 址 处 。 故 RVA 1420 即 为 VA AF1420， 该 地 址 处 存储 着 
IAT 地 址 ( VA, AF10C4 )。 并 且 该 值 经 过 PE 重 定位 而 发 生 了 变化 。 使 用 相同 原理 , AF142D, AF1436 
地 址 的 内 容 也 都 是 硬 编码 到 程序 中 的 地 址 值 ， 该 偏 移 可 以 在 表 16-2 中 求 得 。 

提示 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
TypeOffset 项 中 指向 位 移 的 低 12 位 拥有 的 最 大 地 址 值 为 1000。 为 了 表示 更 大 的 地 
址 ， 要 添加 1 个 与 其 对 应 的 块 ， 由 于 这 些 块 以 数组 形式 罗列 ， 故 称 为 重 定位 表 。 


16.3.4 ”练习 


本 小 节 将 通过 简单 练习 进一步 加 深 大 家 对 PE 重 定位 操作 原理 的 理解 ,练习 过 程 将 参照 本 节 开 
始 内 容 中 列 出 的 步骤 进行 。 运 行 Notepad.exe 时 ,假设 它 被 加 载 到 00AF0000， 而 不 是 ImageBase 地 
AE (01000000) 中 。 那 此 时 PE 重 定位 是 如 何 进行 的 呢 ? 

#1. 查找 程序 中 硬 编码 地 址 的 位 置 

程序 中 使 用 的 硬 编码 地 址 的 偏 移 (位 置 ) 可 以 通过 基 址 重 定 位 表 查 找到 ( 此 处 使 用 上 面 求 得 
的 RVA 1420 )。 使 用 PEView 查 看 RVA 1420 地 址 中 的 内 容 ， 如 图 16-9 所 示 。 


RVA : Raw Data 
8000013F9 15 1A EO 3F E9 18 EO 3F 51 1B EO 3F 00 00 80 00 
90001400 90 90 90 90,90 BB FF 55 BB EC 83 EC 1C 56 57 6A 
090001410 06 33 F6 59 33 C8 89 75 E4 8D 7D E8 F3 AB FF 15 





00001420 C4 18 @@ @1 56 56 GA @1 56 88 FS FF 15 DC 10 00 
00001430 01 5A 02 56 FF 15 94 13 2900 01 85 CO ØF 8C BA 95 
060001440 00 00 53 FF 75 14 57 E8 CO 21 00 00 50 FF 75 08 
060001450 E8 11 0A 60 060 B5 CO OF 84 B5 05 00 00 56 56 FF 








图 16-9 RVA 1420 地 址 的 内 容 


从 图 中 可 以 看 到 , RVA 1420 地 址 中 存在 着 程序 的 硬 编码 地 址 值 010010C4 ( 请 将 该 值 与 图 16-8 
中 的 值 (00AF10C4 ) 比较 )。 
#2. 读 取 值 后 ， 减 去 ImageBase 值 (VA—RVA) 


010010C4-01000000=000010C4 
#3. 加 上 实际 加 载 地 址 (RVA 一 VA) 
00010C4+00AF0000=00AF10C4 


对 于 程序 内 硬 编码 的 地 址 (010010C4 )，PE 装 载 器 都 做 如 上 处 理 ， 根 据 实 际 加 载 的 内 存 地 址 
修正 后 ， 将 得 到 的 值 (00AF10C4 ) 覆盖 到 同一 位 置 。 对 一 个 IMAGE BASE RELOCATION 结 构 
体 的 所 有 TypeOffset 都 重复 上 述 过 程 , 且 对 与 RVA 1000~2000 地 址 区 域 对 应 的 所 有 硬 编码 地 址 都 要 
进行 PE 重 定位 处 理 ( 参考 图 16-7 )。 若 TypeOffset 值 为 0, 则 表明 一 个 IMAGE BASE RELOCATION 
结构 体 结束 。 

对 重 定位 表 中 出 现 的 所 有 IMAGE BASE _ RELOCATION 结构 体 都 重复 上 述 处 理 后 ,就 完成 了 
对 进程 内 存 区 域 相应 的 所 有 硬 编码 地 址 的 PE 重 定位 。 重 定位 表 以 NULL 结 构 体 结束 ( 即 
IMAGE BASE RELOCATION 结 构 体 成 员 的 值 全 部 为 NULL )。 

以 上 就 是 PE 重 定位 的 操作 原理 与 重 定 位 表 结 构 体 的 相关 内 容 。 


第 17 章 ”从 可 执行 文件 中 删除 .reloc 证 区 


本 章 将 通过 练习 使 大 家 了 解 从 PE 文件 中 手动 删除 .reloc 节 区 的 方法 ,这 将 大 大 加 深 各 位 对 PE 
文件 格式 的 理解 ， 同 时 进一步 熟悉 Hex Editor 等 工具 的 使 用 。 


17.1 .reloc 节 区 


EXE 形 式 的 PE 文件 中 ,“ 基 址 重 定位 表 ” 项 对 运行 没什么 影响 。 实 际 上 ， 将 其 删除 后 程序 仍 
然 正 常 运行 ( 基 址 重 定 位 表 对 DLL/SYS 形 式 的 文件 来 说 几乎 是 必需 的 )。 

VC++ 中 生成 的 PE 文件 的 重 定位 节 区 名 为 .reloc, 删除 该 节 区 后 文件 照常 运行 ,， 且 文件 大 小 将 
缩减 (实际 上 存在 这 种 实用 小 程序 )。.reloc 节 区 一 般 位 于 所 有 节 区 的 最 后 ， 删 除 这 最 后 一 个 〈 不 
使 用 的 ) 节 区 不 像 想 得 那么 难 。 只 使 用 PEView 与 Hex Editor ( 手动 删除 ) 就 足够 了 。 


17.2 reloc.exe 


若 想 准确 删除 位 于 文件 末尾 的 .reloc 节 区 ， 需 要 按照 以 下 4 个 步骤 操作 。 


步骤 1 - 整理 , reLOC 节 区 头 ; 

步骤 2 - 删除 .reLoc 节 区 ; 

步骤 3 - 修改 IMAGE FILE HEADER; 
步骤 4 - 修改 IMAGE OPTIONAL HEADER, 


下 面 按 上 述 步骤 依 序 操作 。 


17.2.1 删除 .reloc 节 区 头 


从 图 17-1 可 以 看 到 ，.reloc 节 区 头 从 文件 偏 移 270 处 开始 ， 大 小 为 28。 使 用 Hex Editor 打 开 该 
区 域 (270~297 )， 全 部 用 0 覆盖 填充 ( 使 用 HxD 的 “Fill selection...” 功 能 会 比较 方便 )， 如 图 17-2 
所 示 。 





r : 
Xi PEview - chworkcarelocexe — 
File View Go Hep 一 
2100009 armie = 

E reloc.exe 
IMAGE DOS HEADER 
MS-DOS Stub Program 99 

i| £ IMAGE NT HEADERS 0008096849 Virtual Size 

| NT. | 

| IMAGE SECTION HEADER .text 

IMAGE SECTIOM HEADER .rdata 
IMAGE SECTION HEADER .data 
IMAGE SECTION HEADER -rsrc FEIA feinte te tinc mi 
E spel ” 
LINT relec serana asw sk. A 
DEREN ERE oeoo — Number of Line Numbers 


ig SECTION .rdata 42000049 Characteristics 
SECTION .data 























Size of Raw 


Pointer t tions 














£ SECTION .rsrc 
$ SECTION .reloc 

















Viewing IMAGE SECTION. HEADER .reloc 

















图 17-1 .reloc 5 [X 3k 
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Offset(h) 


eo 
B4 
ee 
ee 
eo 
eec 
ee 
ee 


$8$$$8525 
$$8$$2$8$859 
$82$5$888 
$8$$$888 
$8$88838 





图 17 


17.2.2 ”删除 .reloc 节 区 


从 图 17-1 可 以 看 到 ,文件 中 .reloc 节 区 的 起 始 偏 移 为 C000( 由 此 开始 到 文件 未 尾 为 .reloc 节 区 )。 
从 C000 偏 移 开 始 一 直 使 用 Hex Editor 删 除 到 文件 末端 所 有 数据 ( 使 用 HxD 的 “Delete” 功 能 更 
方便 )， 如 图 17-3 所 示 。 


Offset(h) ee 01 @2 03 e4 @5 @6 o7 98 09 OA ƏB @C OD OE OF 
0000BFEO 44 49 4E 47 50 41 44 44 49 AE 47 58 58 50 41 44 DINGPADDINGXXPAD 
O00BFFO 44 49 4E 47 50 41 44 44 49 AE 47 58 58 50 41 ET ass MR AD 


U w uw g 


iw 





图 17-3 ”删除 .reloc 节 区 


这 样 ，.reloc 节 区 即 被 物理 删除 。 但 是 由 于 尚未 修改 其 他 PE 头 信息 ,文件 仍 无 法 正常 运 和 
下 面 开 始 修改 相关 PE 头 信息 ， 使 文件 最 终 能 够 正常 运行 。 


17.2.3 ”修改 IMAGE_FILE_HEADER 


删除 1 个 节 区 后 ,首先 要 修改 IMAGE FILE HEADER -Number of Sections 项 ， 如 图 17-4 所 示 。 














5g reloc.exe Description 
i- IMAGE DOS HEADER [3 Machine 
L.MS-DOS Stub Program i F 
Ej IMAGE NT HEADERS | j||Geeeeere 4B5F9C8D Time Date Stamp 

| j||&eeeeeera eeeoeeece Pointer to Symbol Table 

i- IMAGE FILE HEADER 0000086E8 00060000 Number of Symbols 


i IMAGE OPTIONAL HEADER | @E@ Size of Optional Header 


MAGE SECTION HEADER .tex: 9102 Characteristics 
一 一 k: ] 


— IMAGE SECTION HEADER .rda| 
— IMAGE SECTION HEADER .dat| | 
一 IMAGE SECTION HEADER .rsr| F 
- IMAGE SECTION HEADER .rel 
|- SECTION .text 


& SECTION .rdata 


+ Signature 



































17-4 Number of Sections 


34 fif Number of Sections 项 的 值 为 5， 删 除 1 个 节 区 后 要 把 其 值 改 为 4， 如 图 17-5 所 示 。 
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Wm HxD - [c%Wworkwr 











Ë) reloc.exe k 
Offset(h) 9@ 91 02 03 04 05 06 07 98 09 OA OB OC OD OE OF 


|| eaeeeeBe 9E B9 B9 16 CD B9 B8 16 97 C1 32 15 9F B9 BB 16 zii.f3,.—42.v:,. L 
06868BCB 97 C1 29 16 9F B9 BB 16 52 69 63 68 9E B9 B8 16 -Á).V*,.Richz*,. 











09090009 00 20 O0 60 oO O0 OO O0 50 45 @@ 00 4C lEz ........ . 
e00000E0 BD 9C 5F AB 86 GO 86 O0 O0 O00 GO OO EO O0 Ob de KI «c a... 
000006rG6 OB 01 09 HG GO ZA BO 90 GO 42 O0 00 GO 00 BO 00 ..... S. Bz. csse 





图 17-5 Hg Number of Sections 


17.2.4 ”修改 IMAGE OPTIONAL HEADER 


删除 .reloc 节 区 后 ,( 进程 虚拟 内 存 中 ) 整个 映像 就 随 之 减少 相应 大 小 。 映 像 大 小 值 存储 在 
IMAGE OPTIONAL HEADER - size of Image 中 ， 需 要 对 其 修改 。 

从 图 17-6 可 以 看 出 ， 当 前 Size ofImage 的 值 为 11000。 问 题 在 于 ， 要 计算 减 去 多 少 才能 让 程序 
正常 运行 。 由 图 17-1 可 知 ，.reloc 节 区 的 VirtualSize 值 为 E40， 将 其 根据 Section Alignment 扩 展 后 变 
为 1000( 练习 文件 的 Section Alignment 值 为 1000 )。 所 以 应 该 从 Size of Image 减 去 1000 才 正确 ， 如 
图 17-7 所 示 。 


| PEvlew - Cw 





2000 ° 
Ej reloc.exe i ] Description 
i" IMAGE DOS HEADER Minor O/S Version 
;.MS-DOS Stub Program Major Image Version 
= IMAGE NT HEADERS Minor Image Version 
Í Í Signature Major Subsystem Versio! 
L IMAGE FILE HEADER Minor Subsystem Versio 
L. IMAGE OPTIONAL HEADER Win32 Version Value 
i = T 0128 QQD11000 Siz 
IMAGE SECTION HEADER .tex viii. : - — 
IMAGE SECTION HEADER .rda ize of Headers 
m = Checksum 
IMAGE SECTION HEADER .dat 
L.IMAGE SECTION HEADER SOC NE 
P = < Ai DLL Characteristics 
^ IMAGE SECTION HEADER .rel 
b- SECTION .text 
9. SECTION .rdata 


cerry d-r- 






































reloc.exe | 





Offset(h) 88 ei 02 03 64 O5 @6 07 88 09 OA OB OC OD 6E OF [n 
90000100 SF 12 00 00 O0 10 00 GG GB AO O0 OO OO OO 40 O0 i 











96000110 90 16 00 GƏ OO 02 O0 OO O5 OO OO OO OO OO OO OO 

eooool20 05 o0 @@ O0 OO OO OO 00 04 eo eo 

90000130 69 Aš 01 00 03 00 40 81 10 00 O00 i 
1e ee oo 


00000140 00 pe 10 ee o0 00 00 00 00 10 20 00 00 


17-7 ”修改 Size of Image 


173 dX 145 





修改 后 的 reloc.exe 文 件 现在 能 够 正常 运行 了 。 像 这 样 ， 只 使 用 PEView 与 Hex Editor 就 能 随心 
所 谷地 修改 可 执行 文件 。 此 外 还 可 修改 最 后 节 区 的 大 小 、 添 加 新 节 区 等 。 


17.3 “小结 


若 想 再 多 做 一 些 与 上 述 内 容 有 关 的 练习 ， 可 以 尝试 向 示例 文件 (reloc.exe ) 新 增 1 个 空 节 区 ， 
使 总 节 区 数 达 到 6 个 。 参 考 前 面 讲解 的 内 容 即 可 顺利 完成 。 通 过 这 样 的 练习 可 以 进一步 加 深 对 PE 
文件 的 认识 、 积 累 更 多 经 验 ， 以 后 操作 PE 文件 就 会 更 加 得 心 应 手 。 


第 18 章 ”UPack PE 文件 头 详细 分 析 


UPack ( Ultimate PE 压缩 器 ) 是 一 款 PE 文 件 的 运行 时 压缩 器 ， 其 特点 是 用 一 种 非常 独特 的 方 
式 对 PE 头 进行 变形 。UPack 会 引起 诸多 现 有 PE 分 析 程 序 错误 ， 因 此 各 制作 者 ( 公司 ) 不 得 不 重新 
修改 、 调 整 程序 。 也 就 是 说 ，UPack 使 用 了 一 些 划 时 代 的 技术 方法 ， 详 细 分 析 UPack 可 以 把 对 PE 
头 的 认识 提升 到 一 个 新 层次 。 本 章 将 完全 颠覆 大 家 之 前 对 PE 头 的 了 解 ， 在 学 习 更 多 知识 的 同时 ， 
进一步 感受 代码 逆向 分 析 的 乐趣 与 激情 。 


18.1 UPack 说 明 


UPack 是 一 个 名 叫 dwing 的 中 国人 编写 的 PE 压缩 器 。 


网 址 : http://wex.cn/dwing/mycomp.htm 
UPack 0.39 Final: http://wex.cn/dwing/download/Upack039.7z 


UPack 的 制作 者 对 PE 头 有 深刻 认识 ， 由 其 对 Windows OS PE 装载 器 的 详细 分 析 就 可 以 推测 出 
来 。 许 多 PE 压缩 器 中 ，UPack 都 以 对 PE 头 的 独特 变形 技法 而 闻名 。 初 次 查看 UPack 压 缩 的 文件 PE 
头 时 ， 经 常会 产生 “这 是 什么 啊 ? 这 能 运行 吗 ? ”等 疑问 ， 其 独特 的 变形 技术 可 罕 一 斑 。 . 

UPack 刚 出 现时 ， 其 对 PE 头 的 独特 处 理 使 各 种 PE 实用 程序 ( 调试 器 、PE Viewer 等 ) 无 法 正 
常 运行 (经常 非 正常 退出 )。 

这 种 特征 使 许多 恶意 代码 制作 者 使 用 UPack 压 缩 自己 的 恶意 代码 并 发 布 。 由 于 这 样 的 恶意 代 
码 非常 多 ,现在 大 部 分 杀毒 软件 干脆 将 所 有 UPack 压 缩 的 文件 全 部 识别 为 恶意 文件 并 删除 (还 有 
几 个 类 似 的 在 恶意 代码 中 常用 的 压缩 器 )。 

理解 下 面 所 有 内 容 后 再 亲自 制作 PE Viewer 或 PE 压缩 器 /Crypter， 这 样 就 能 成 为 PE 文件 头 的 
专家 了 ， 以 后 无 论 PE 头 如 何 变形 都 能 轻松 分 析 。 

提示 MM MÀ —  — ———— ——  — 
详细 分 析 UPack 前 要 先 关 闭 系统 中 运行 的 杀毒 软件 的 实时 监控 功能 (大 部 分 杀毒 
软件 会 将 UPack 识别 为 病毒 并 删除 )， 分 析 完 成 后 再 打开 。 


18.2 ”使 用 UPack 压缩 notepad.exe 


提示 
使 用 Windows XP SP3 中 的 notepad.exe 程序 。 


下 面 使 用 UPack 0.39 Final 版 本 压缩 notepad.exe。 首 先 将 upack.exe 与 notepad.exe 复 制 到 合适 的 
文件 中 (参考 图 18-1 )， 然 后 在 命令 行 窗口 输入 命令 压缩 文件 〈 压 缩 命令 带 有 几 个 参数 ， 但 这 里 
使 用 默认 ( default ) 参数 即 可 )， 如 图 18-2 所 示 。 


18.2 使 用 UPack 压缩 notepad.exe 








<> (x9 C: work |+ 
文件 (F) SRE EEV) LAT) ”帮助 (H) 
$3 对 打开 » E" 


notepad.exe 





c 
D 
% 
x 
b] 





notepad.exe 


PAM 








-— - - — — -L — 











图 18-1 notepad.exe & Upack.exe 文 件 


Microsoft Windows %P [Version 5.1.26081 
<C) Copyright 1985-2001 Microsoft Corp. 


We pack notepad- exe) 


pack 8.39 >>>>>>>> Ultimate PE Packer <<<<<<<< Final Uersioni 

opyright <c) 2005 by Dwing All rights reserved 

REEvare for non-commercial use with ABSOLUTELY NO WARRANTY 
ixx Homepage: http://dwing.Si.net Contact me: dwing@163.com **i 


Recompiling and compre 
chui 


ing 
yiling 
moving debug data [8081C1.... 
3 ing code 0-01-01 
28 KB dict> 


Building neu PE da -. OK? 
nking new PE file byte 





图 18-2 ”用 UPack 压 缩 notepad.exe 


UPack 会 直接 压缩 源 文 件 本 身 ， 且 不 会 另外 备份 。 因 此 ， 压 缩 重 要 文件 前 一 定 要 先 备份 。 
运行 时 压缩 完成 后 ， 文 件 名 将 变 为 notepad_upack.exe。 接 下 来 使 用 PEView 查 看 ， 如 图 18-3 


PEview - C:WDocuments and Settings WlewwwYW ... 
File View Go Help 


IMAGE FILE HEADER 





Viewing IMAGE FILE HEADER 


图 18-3 notepad upack.exe 


18 Dec 200 
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这 里 使 用 的 是 PEView 的 最 新 版 本 ( 0.9.8 ), 但 是 仍然 无 法 正常 读 取 PE 文件 头 ( 没有 
IMAGE OPTIONAL HEADER, IMAGE _SECTION_HEADER 等 的 信息 )。 而 在 旧版 PEView 中 ， 
程序 干脆 会 非 正 常 终止 退出 。 


18.3 ”使 用 Stud_PE 工具 


由 于 最 强大 的 PE Viewer 工 具 PEView 无 法 正常 运行 ， 下 面 再 向 各 位 介绍 一 款 类 似 的 PE 实用 工 
具 Stud PE。 


网 址 : http://www.cgsoftlabs.ro 
Stud PE: http://www.cgsoftlabs.ro/zip/Stud PE.zip 


最 新 版 本 为 2.4.0.1， 更 新 说 明 中 有 一 条 针对 UPack 的 说 明 ， 如 图 18-4 所 示 。 


2.4.0,1 - 02 apr 2008 

-fixed a bug with imported functions name lenght; 

-added external signature verifier: writed a note about signatures: 

Mixed RVA2RAW for UPACK which has EP inside PE HEADER; now imports are shown 
Fine 
-added basic disassembler from hexeditor right click menu; 

-fixed showing which export is in fact a forwarder to other dll; like HeapAlloc in 
kernel.dll; 

-added process memory durnper/viewer; right click on the process you want to inspect; 
you can use dissasambler (from right click menu inside the hexeditor) to see how the 
code looks at certain VA; the difference from other (dumpers LordPE, ProcDump, 
PETools) is that it can dump/view code blocks protected with PAGE GUARD or 


NOACCESS flags. 
图 18-4 Stud PE 更 新 介绍 


更 新 说 明 中 指出 ， 针 对 Upack 的 RVA2RAW 功 能 已 得 到 修改 (UPack 到 处 制造 麻烦 )。 图 18-5 
是 Stud_ PE 的 运行 界面 。 

























图 18-5 Stud PE.exe 运 行 界面 


Stud PE 的 界面 结构 要 比 PEView 略 复杂 一 些 ， 但 它 拥有 其 他 工具 无 法 比拟 的 众多 独特 优点 
(也 能 很 好 地 显示 UPack )。 分 析 UPack 文 件 的 PE 头 时 将 对 Stud_ PE 进行 更 加 详细 的 说 明 。 


18.4 比较 PE 文件 头 
先 使 用 Hex Editor 打 开 2 个 文件 ( notepad.exe, notepad upack.exe )， 再 比较 其 PE 头 部 分 。 
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18.4.1 JE notepad.exe 的 PE 文件 头 


图 18-6 是 个 典型 的 PE 文件 头 , 其 中 数据 按照 IMAGE DOS HEADER,DOS Stub, IMAGE NT _ 
HEADERS, IMAGE _ SECTION_HEADERJ 顺 序 排列 。 


Offset(h) 


90000000 
00000010 
00000020 
00009030 soc 
00000040 ..9.. .11 frTh 
000090050 is program canno 
00000060 t be run in DOS 
90000076 mode....$ 
00000080 i[i a50 856 a50 
00000099 ké:beasokeuoeasoó 
00060040 kéhà»á5ó “a40ca56 
00000080 kékóeaSokejo2850 
800000C8 kéoà&aSóRich “a50 
00006900 

86969999E9 

000009F0 

00000100 

00000110 

00000120 

00900130 

00000140 

09900150 

00000160 

00000170 

00000180 

00000190 

00000140 

00000180 

999661C96 

000001D0 

000001E0 





00000210 
00000220 
00000230 
00000240 





图 18-6 ”notepad.exe 的 PE 文件 头 


18.4.2. notepad upack.exe 运行 时 压缩 的 PE 文件 头 


offset(h) 
00000000 MZKERNEL32.DLL.. 
gru e 7 
LoadL1 


000000560 
90000060 
66000070 
090000080 
00000090 
080000A0 


à.p.Óó«c-.WQési.. 
000000F0 V.88*.0a8.6.5.3ÀU 


00000100 Q06à«6' yv "YNe .0 
00000110 &á] .6EYEk . V «66 
98000120 22^2€8;-4, ,-byyX 
00000136 .Y8.$.G. .«.s*«.« 
00000148 .u6*..E.F8*C«àÀ^ 
00000150 ]YF-.Àt.Qqv-yR"—,, 
00900160 Àuü8.té«&y.F3Àf- 


09000170 PSyÓ«écÀ.Q 
00000180 Š ps..É 
00900190 gn 
000001A0 

00000180 

6900001CO 

96000100 

000001E0 

900001F0 

00000206 





图 18-7 notepad_upx.exe 的 PE 头 
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如 图 18-7 所 示 ，notepad_upx.exe 的 PE 头 看 上 去 有 些 奇 怪 。MZ2 与 PE 签名 贴 得 太 近 了 ， 并 且 没 
有 DOS 存 根 , 出 现 了 大 量 字 符 串 , 中 间 好 像 还 夹杂 着 代码 。 总 之, 整个 文件 不 对 劲 的 地 方太 多 了 。 
下 面 详细 分 析 UPack 中 使 用 的 这 种 独特 的 PE 文件 头 结构 。 


18.5 “分析 UPack 的 PE 文件 头 


18.5.1 EELA 


sat CF aB E Hift Hs Ai ds £868 FH BEA, EB I n] HBIMZ CIES (IMAGE DOS _ 
HEADER ) 与 PE 文件 头 (IMAGE NT HEADERS ) 巧妙 重 番 在 一 起 ,并 可 有 效 节 约 文件 头 空 间 。 
当然 这 会 额外 增加 文件 头 的 复杂 性 ， 给 分 析 带 来 很 大 困难 ( 很 难 再 使 用 PE 相关 工具 )。 

下 面 使 用 Stud_ PE 看 一 下 MZ 文 件 头 部 分 。 请 按 Headers 选 项 卡 的 Basic HEADERS tree view in 
hexeditor 按 钮 ， 如 图 18-8 所 示 。 


00 00 4C Ol 02 00 2r 50 u 00 01 àn 5 
3 34 EB "C 4£ o1 OF Ol OB 01 4C BY 61 54 





18-8 重 写 文件 头 


MZ 文 件 头 (IMAGE DOS HEADER ) 中 有 以 下 2 个 重要 成 员 。 


(offset 0) e magic : Magic number = 4D5A('MZ') 
(offset 3C) e lfanew : File address of new exe header 


其 余 成 员 都 不 怎么 重要 ( 对 程序 运行 没有 任何 意义 )。 

问题 在 于 , 根据 PE 文件 格式 规范 , IMAGE_NT_HEADERS 的 起 始 位 置 是 “可 变 的 ”。 换言之 
IMAGE_NT_HEADERS 的 起 始 位 置 由 e_lfanew 的 值 决 定 。 一 般 在 一 个 正常 程序 中 ，e_lfanew 拥 有 
如 下 所 示 的 值 (不 同 的 构建 环境 会 有 不 同 )。 
e lfanew = MZ 文件 头 大 小 (40) + D0S 存 根 大 小 (TE: VC++ 下 为 A0) = 

UPack 中 e_lfanew 的 值 为 10， 这 并 不 违反 PE 规范 ， pe 像 这 样 就 
可 以 把 MZ 文 件 头 与 PE 文件 头 重 到 在 一 起 。 


18.5.2 IMAGE FILE HEADER.SizeOfOptionalHeader 


修改 IMAGE_FILE_ HEADER.SizeOfOptionalHeader 的 值 ， 可 以 向 文件 头 插入 解码 代码 。 
SizeOfDptionalHeader 表 示 PE 文 件 头 中 紧 接 在 IMAGE_ FILE HEADER F IMAGE OPTIONAL - 
HEADER 结 构 体 的 长 度 ( E0 )。UPack 将 该 值 更 改 为 148， 如 图 18-9 所 示 ( 图 中 框 选 的 部 分 )。 


18.5 分析 UPack 的 PE X £F 3k 151 





Stud_PE HexViewer 1.00 Editing H 





图 18-9 SizeOfOptionalHeader 


此 处 会 产生 一 个 疑问 。 由 字面 意思 可 知 ，IMAGE_OPTIONAL HEADER 是 结构 体 ，PE32 文 
件 格 式 中 其 大 小 已 经 被 确定 为 E0。 

既然 如 此 ，PE 文 件 格式 的 设计 者 们 为 何 还 要 另外 输 和 IMAGE_OPTIONAL HEADER 结 构 体 
的 大 小 呢 ? 原来 的 设计 意图 是 ， 根 据 PE 文 件 形态 分 别 更 换 并 插入 其 他 IMAGE OPTIONAL 
HEADER 形 态 的 结构 体 。 简 言 之 ， 由 于 IMAGE_OPTIONAL HEADER 的 种 类 很 多 ， 所 以 需要 另 
外 输入 结构 体 的 大 小 ( 比如 : 64 位 PE32+ 的 IMAGE_OPTIONAL HEADER 结 构 体 的 大 小 为 F0 )。 

SizeOfOptionalHeader 的 男 一 层 含 义 是 确定 节 区 头 ( IMAGE_SECTION_HEADER ) 的 起 始 
偏 移 。 

仅 从 PE 文件 头 来 看 ， 紧 接着 IMAGE OPTIONAL HEADER 的 好 像 是 IMAGE SECTION - 
HEADER 。 但 实际 上 (更 准确 地 说 )， 从 IMAGE OPTIONAL HEADER 的 起 始 偏 移 加 上 
SizeOfOptionalHeader 值 后 的 位 置 开 始 才 是 IMAGE_SECTION_HEADER。 

UPack 把 SizeOfOptionalHeader 的 值 设 置 为 148， 比 正常 值 ( E0 或 F0 ) 要 更 大 一 所 以 
IMAGE SECTION _HEADER 是 从 偏 移 170 开 始 的 ( Aur P M ERE AA 
(28)* SizeOfOptionalHeader(148)-170 )。 

UPack 的 意图 是 什么 ”为 什么 要 改变 这 个 值 ( SizeOfOptionalHeader ) 呢 ? 

UPack 的 基本 特征 就 是 把 PE 文件 头 变形 ， 像 扭曲 的 麻花 一 样 ， 向 文件 头 适当 插入 解码 需要 的 
代码 。 增 大 SizeOfDOptionalHeader 的 值 后 ， 就 在 IMAGE OPTIONAL HEADER 与 IMAGE __ 
SECTION_HEADER 之 间 添 加 了 额外 空间 。UPack 就 向 这 个 区 域 添加 解码 代码 ， 这 是 一 种 超越 PE 
文件 头 常规 理解 的 巧妙 方法 。 

下 面 查看 一 下 该 区 域 。 IMAGE_ OPTIONAL _ HEADER 结 束 的 位 置 为 D7, IMAGE SECTION - 
HEADER 的 起 始 位 置 为 170。 使 用 Hex Editor 查 看 中 间 的 区 域 ， 如 图 18-10 所 示 。 


900000C0 47 65 74 50 72 6F 63 41 64 64 72 65 73 73 00 00 
9 80 Ë 4 F3 1 


090080170 





图 18-10 解码 代码 
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使 用 调试 器 查看 反 汇 编 代 码 ， 如 图 18-11 所 示 。 











81801008 | 40 INC EAX 

810018D9 | ñB STOS DWORD PTR ES:[EDI] 
81901000 | 40 INC EAX 

61086180B | B1 04 MOU CL,^ 

818818DD | F3:ñB REP STOS DWORD PTR ES:[EDI] 
81801900F C1E0 OA SHL EAX, 8A 

010010E2 B5 1€ MOU CH,1C 

9018010E5 | F3:AB REP STOS DWORD PTR ES:[EDI] 
018018Eó | 8B7E GC WOU EDI,DWORD PTR DS:[ESI+C] 
819018E9 | 57 PUSH EDI 

818018EQ | 51 PUSH ECX 

8018818EB |, E9 23EC0100  |JMP notepad .8101FD13 
610010F8 | 56 PUSH ESI 

010819F1 18E2 ADC DL,ñH 

818810F3 |^ E3 B1 JECXZ SHORT notepad .01881886 
818818F5 8^ D3 ADD AL,803 

018018F7 |, E8 03 LOOPDME SHORT notepad .818818FC 
0188018Fo E8 80531833 CALL 3418648B 

B18818FE | C055 48 51 RCL BYTE PTR SS:[EBP+40],51 
81001102 | D3EG SHL ERX,CL 

8188011804 | 8BEA MOU EBP ,EDX 

01081186 | 91 XCHG ERX ,ECX 

81801187 | FF56 4C CALL DWORD PTR DS:[ESI*5C] 
81801100 | 99 con 

81891168 | 59 POP ECX 








图 18-11 解码 代码 


图 18-11 并 不 是 PE 文件 头 中 的 信息 ， 而 是 UPack 中 使 用 的 代码 。 若 PE 相关 实用 工具 将 其 识别 
为 PE 文件 头 信息 ， 就 会 引发 错误 ， 导 致 程序 无 法 正常 运行 。 


18.5.3 IMAGE OPTIONAL HEADER.NumberOfRvaAndSizes 


从 IMAGE OPTIONAL HEADER 结 构 体 中 可 以 看 到 , HcNumberOfRvaAndSizes [B tl, Az #E T 
改变 ， 这 样 做 的 目的 也 是 为 了 向 文件 头 插入 自身 代码 。 

NumberOfRvaAndSizes 值 用 来 指出 紧 接 在 后 面 的 IMAGE DATA_DIRECTORY 结 构 体 数组 的 
元 素 个 数 。 正 常 文 件 中 IMAGE DATA_DIRECTORY 数 组 元 素 的 个 数 为 10， 但 在 UPack 中 将 其 更 
改 为 了 A 个 (参考 图 18-12 中 的 框 选 区 域 )。 


Executable Headers 


Numbervthvyaandsizes 








图 18-12 NumberOfRvaAndSizes 


IMAGE DATA_DIRECTORY 结 构 体 数组 元 素 的 个 数 已 经 被 确定 为 10， 但 PE 规范 将 
NumberOfRvaAndSizes 值 作为 数组 元 素 的 个 数 ( 类 似 于 前 面 讲解 过 的 SizeOfOptionalHeader )。 所 
以 UPack 中 IMAGE DATA _DIRECTORY 结 构 体 数 组 的 后 6 个 元 素 被 忽略 。 


18.5 分析 UPack 的 PE 文件 头 153 


表 18-1 中 已 经 对 IMAGE DATA_DIRECTORY 结 构 体 数组 的 各 项 进行 了 说 明 。 其 中 粗 斜 体 的 
项 如 果 更 改 不 正确 ， 就 会 引发 运行 错误 。 


表 18-1 IMAGE_DATA_DIRECTORY 结 构 体 数组 














COM_DESCRIPTOR Directory 
Reserved Directory 


DEBUG Directory 
COPYRIGHT Directory 


0 EXPORT Directory 8 GLOBALPTR Directory 

1 IMPORT Directory 9 TLS Directory 

2 RESOURCE Directory A LOAD CONFIG Directory 

3 EXCEPTION Directory B BOUND IMPORT Directory 
4 SECURITY Directory c IAT Directory 

5 BASERELOC Directory D DELAY IMPORT Directory 

6 E 

7 F 





UPackÉf£fIMAGE OPTIONAL HEADERNumberOfRvaAndSizes 的 值 更 改 为 A, JALOAD CONFIG 
项 (文件 偏 移 D8 以 后 ) 开始 不 再 使 用 。UPack 就 在 这 块 被 忽视 的 IMAGE DATA DIRECTORY 
区 域 中 覆 写 自己 的 代码 。UPack 真 是 精打细算 ， 充 分 利用 了 文件 头 的 每 一 个 字 节 。 

接 下 来 使 用 Hex Editor 查 看 IMAGE _DATA_DIRECTORY 结 构 体 数组 区 域 ， 如 图 18-13 所 示 。 








图 18-13 IMAGE _ DATA_DIRECTORY 结 构 体 数组 


图 18-13 中 淡色 显示 的 部 分 是 正常 文件 的 IMAGE DATA_DIRECTORY 结 构 体 数组 区 域 , 其 下 
深 色 显 示 的 是 UPack 忽 视 的 部 分 (D8~107 区 域 =LOAD_CONFIG Directory 之 后 )。 使 用 调试 器 查看 
被 忽视 的 区 域 ， 将 看 到 UPack 自 身 的 解码 代码 ， 如 图 18-11 所 示 。 

另外 ，NumberOfRvaAndSizes 的 值 改变 后 ， 在 OllyDbg 中 打开 该 文件 就 会 弹出 如 图 18-14 所 示 
的 错误 消息 框 。 





图 18-14 OllyDbg iR SHE 


OllyDbg 检 查 PE 文件 时 会 检查 NumberOfRvaAndSizes 的 值 是 否 为 10, 这 个 错误 信息 并 不 重要 ， 
可 以 忽略 。 使 用 其 他 插件 也 可 完全 删除 ， 仅 供 参 考 。 


18.5.4 IMAGE SECTION HEADER 


IMAGE SECTION_HEADER 结 构 体 中 ，Upack 会 把 自身 数据 记录 到 程序 运行 不 需要 的 项 目 。 
这 与 UPack 向 PE 文件 头 中 不 使 用 的 区 域 覆 写 自 身 代码 与 数据 的 方法 是 一 样 的 (PE 文件 头 中 未 使 用 
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的 区 域 比 想象 的 要 多 )。 
在 前 面 的 学 习 中 , 我 们 已 经 知道 节 区 数 是 3 个 , IMAGE SECTION HEADER 结构 体 数组 的 起 始 


位 置 为 170。 下 面 使 用 Hex Editor 查 看 IMAGE SECTION _ HEADER 结 构 体 ( 偏 移 170~1E7 的 区 域 ), 
如 图 18-15 所 示 。 













na 


oa 
81 Du 88 59 m 00 2 
3 00 81 FF 3F 81 81 28 FE | 
IB 81 01 FC OF 08 81 08 10 8B 09 80 
8B 09 18 00 BB BB 98 FC OT O1 9B FC B1 B1 
81 01 68 DD GB Ef 28 00 O8 DO BE OO GO OO 






























0000081E0p 








图 18-15 IMAGE SECTION HEADER 


图 18-15 显 示 的 即 是 IMAGE SECTION HEADERS HJK, ETEA, 将 其 中 数据 整理 如 下 
(使 用 umapa H TARRE Viewer j 





00000170 01000170 5053FFD5 Name (PS rš##? 
00000174 01000174 ABEBE7C3 

00000178 01000178 00014000 virtual size 

0000017C 0100017C 00001000 RVA 

00000180 01000180 000001F0 size of raw data 
00000184 01000184 00000010 offset to raw data 
01000188 0101BDDO offset relocations 
0000018C 0100018C O101FCCB offset to line numbers 
00000190 01000190 0132 number of relocations 
01000192 0000 number line numbers 
00000194 01000194 E0000060 characteristics 




















00000198 01000198 00100001 Name() 

0000019C 0100019C 00FD0101 

000001A0 010001A0 00012000 virtual size 

000001A4 010001A4 00015000 RVA 

000001A8 010001A8 0000AE28 size of raw data 

000001AC 010001AC 00000200 offset to raw data 
010001B0 0100739D offset to relocations 
010001B4 01013FFF offset to line numbers 


010001B8 FE28 number of relocations 
010001BA 0101 number of line numbers 
000001BC 010001BC E0000060 characteristics 





000001CO 010001CO 5A4B0101 Name(ZK?) 

000001C4 010001C4 FCOF0001 

000001C8 010001C8 00001000 virtual size 

000001CC 010001CC 00027000 RVA 

000001D0 010001D0 000001F0 size of raw data 

000001D4 010001D4 00000010 offset to raw data 
010001D8 0101FC98 offset to relocations 
010001DC 0101FC9B offset to line numbers 


010001E0 FCAA number of relocations 
010001E2 0101 number of line numbers 
000001bE4 010001E4 E9009060 characteristics 
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代码 18-1 框 选 的 结构 体 成 员 对 程序 运行 没有 任何 意义 。 比 如 文件 偏 移 1B0 地 址 处 的 offset to 
relocations 值 为 0100739D ， 它 为 原 notepad.exe 的 EP 值 。 此 外 ， 节 区 头 中 还 隐藏 着 一 些 秘密 (马上 
就 会 讲 到 )。 


18.5.5 EPK 


UPack 的 主要 特征 之 一 就 是 可 以 随意 重奏 PE 节 区 与 文件 头 (刚刚 学 过 PE 文件 头 基础 知识 的 朋 
友 可 能 会 对 这 种 技法 感到 惊慌 失措 )。 

通过 Stud_ PE 提供 的 简略 视图 查看 UPack 的 IMAGE_SECTION_HEADER。 请 选择 Stu_PE 的 
“Section” 选 项 卡 ， 如 图 18-16 所 示 。 


$: Stud PE operating on : "notepad_upack,exe” 

















图 18-16 Stud ED 的 Section 选 项 卡 


从 图 18-16 中 可 以 看 到 ， 其 中 某 些 部 分 看 上 去 比较 奇怪 。 首 先是 第 一 个 与 第 三 个 节 区 的 文件 
起 始 偏 移 (RawOffset ) 值 都 为 10。 偏 移 10 是 文件 头 区 域 ，UPack 中 该 位 置 起 即 为 节 区 部 分 。 

然后 让 人 感到 奇怪 的 部 分 是 ， 第 一 个 节 区 与 第 三 个 节 区 的 文件 起 始 偏 移 与 在 文件 中 的 大 小 
( RawSize ) 是 完全 一 致 的 。 但 是 , 节 区 内 存 的 起 始 RVA ( VirtualOffset ) 项 与 内 存 大 小 ( VirtualSize ) 
值 是 彼此 不 同 的 。 根 据 PE 规 范 ， 这 样 做 不 会 有 什么 问题 ( 更 准确 地 说 ，PE 规 范 并 未 明确 指出 这 
样 做 是 不 行 的 )。 

综合 以 上 两 点 可 知 ，UPack 会 对 PE 文件 头 、 第 一 个 节 区 、 第 三 个 节 区 进行 重 于 。 仅 从 数字 上 
很 难 真正 理解 其 中 的 含义 ,为 了 帮助 各 位 更 好 地 掌握 ， 图 18-17 描 述 了 UPack 重 倒 的 情形 。 

图 18-17 左 侧 描 述 的 是 文件 中 的 节 区 信息 ， 右 侧 描 述 的 是 内 存 中 的 节 区 信息 。 

根据 节 区 头 (IMAGE SECTION HEADER ) 中 定义 的 值 ，PE 装 载 器 会 将 文件 偏 移 0~1FF 的 
区 域 分 别 映射 到 3 个 不 同 的 内 存 位 置 ( 文件 头 、 第 一 个 节 区 、 第 三 个 节 区 )。 也 就 是 说 ， 用 相同 的 
文件 映像 可 以 分 别 创建 出 处 于 不 同位 置 的 、 大 小 不 同 的 内 存 映 像 ， 请 各 位 注意 。 

文件 的 头 ( 第 一 /第 三 个 节 区 ) 区 域 的 大 小 为 200, 其 实 这 是 非常 小 的 。 相反 , 第 二 个 节 区 (2nd 
Section) 尺寸 ( AE28 ) 非常 大 ， 占 据 了 文件 的 大 部 分 区 域 ， 原 文件 (notepad.exe ) 即 压缩 于 此 。 

另外 一 个 需要 注意 的 部 分 是 内 存 中 的 第 一 个 节 区 区 域 ， 它 的 内 存 尺 寸 为 14000， 与 原文 件 
( notepad.exe ) 的 Size of Image 具 有 相同 的 值 。 也 就 是 说 ， 压 缩 在 第 二 个 节 区 中 的 文件 映像 会 被 原 
样 解压 缩 到 第 一 个 节 区 ( notepad 的 内 存 映像 )。 另 外 ， 原 notepad.exe 拥 有 3 个 节 区 ， 它 们 被 解压 到 
一 个 节 区 。 
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< 文件 > < 内 存 > 

offset VA 
00000000 OMS 01000000 
000000010 |” — 
00000200 E 

01001000 
0000B028 

XT Bx 
01015000 


01027000 


第 三 个 节 区 





01028000 


图 18-17 “UPack 的 重 秋 特 征 
解压 缩 后 的 第 一 个 节 区 如 图 18-18 所 示 。 
第 一 个 忆 区 


01008000 





01015000 


图 18-18 解压 缩 后 的 第 一 个 节 区 


重新 归纳 整理 一 下 ,压缩 的 notepad 在 内 存 的 第 二 个 节 区 ,解压 缩 的 同时 被 记录 到 第 一 个 节 区 。 
重要 的 是 ，notepad.exe ( 原文 件 ) 的 内 存 映 像 会 被 整体 解压 ， 所 以 程序 能 够 正常 运行 (地址 变 得 
准确 而 一 致 )。 





18.5.6 RVA to RAW 


各 种 PE 实用 程序 对 Upack 束 手 无 策 的 原因 就 是 无 法 正确 进行 RVA 一 RAW 的 变换 。UPack 的 制 
作者 通过 多 种 测试 ( 或 对 PE 装载 器 的 道 向 分 析 ) 发 现 了 Windows PE 装载 器 的 Bug (或 者 异常 处 
理 )， 并 将 其 应 用 到 UPack。 

PE 实用 程序 第 一 次 遇 到 应 用 了 这 种 技法 的 文件 时 , 大 部 分 会 出 现 “ 错 误 的 内 存 引用 , 非 正常 
终止 ”( 后 来 许多 实用 程序 对 此 进行 了 修复 )。 


18.5 


分 析 UPack 的 PE 文件 头 
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首先 复习 一 下 RVA 一 RAW 变换 的 常规 方法 。 


= RVA - VirtualAddress 


RAW - PointerToRawData 
RAW 


VirtualAddress、PointerToRawData 是 从 RVA 所 在 的 节 区 头 中 获取 的 值 ， 


= RVA - VirtualAddress + PointerToRawData 
它们 都 是 已 知 值 (known value), 


根据 上 述 公 式 ， 算 一 下 EP 的 文件 偏 移 量 (RAW )。UPack 的 EP 是 RVA 1018 ( 参考 图 18-19 )。 


Executable Headers 


根据 代码 18-1、 
换算 如 下 。 


RAW = 1018 


- 1000 + 10 = 


28 


图 18-19 AddressOfEntryPoint 


* 1st Section&éjVirtualAddress?;1000, PointerToRawData #10, 
使 用 Hex EditorfTJFRAW 28 区 域 查看 ， 如 图 18-20 所 示 。 





üffset(h) 
88600888 
888860018 
8088008828 
8008808838 
888888568 





80 81 02 


4D 5A 4B 45 52 4E 
58 45 00 88 4C 81 
76 34 EB 7C 48 81 








08 98 08 08 00 00 


86 07 08 89 OA AB GC OD GE GF 


45 4C 33 32 2E 44 4C 4C 08 00 
83 88 BE B8 11 88 01 AD 50 s 


83 854 85 





88 
80 61 68 18 88 06 008 02 00 86 








图 18-20 RAW 28 区 域 





图 18-17、 图 18-18，RVA 1018 位 于 第 一 个 节 区 (1st Section )， 将 其 代入 公式 







MZKERNEL32 .DLL . - 










RAW 28 不 是 代码 区 域 ， 而 是 (ordinal:010B)“LoadLibraryA” 字 符 串 区 域 。 现 在 UPack 的 这 种 
把 戏 欺 骗 了 我 们 ( 实际 上 ，OllyDbg 的 早期 版 本 并 不 能 找 出 UPack 的 EP )。 秘 密 就 在 于 第 一 个 节 区 
的 PointerToRawData 值 10。 
一 般 而 言 ， 指 向 节 区 开始 的 文件 偏 移 的 PointerToRawData 值 应 该 是 FileAlignment 的 整数 倍 。 


UPack 的 FileAlignment 为 200， 故 PointerToRawData 值 应 为 0(、200、400、600 等 值 。 


PE 装载 器 发 


现 第 一 个 节 区 的 PointerToRawData ( 10 ) 不 是 FileAlignment ( 200 ) 的 整数 倍 时 ， 它 会 强制 将 其 识 


别 为 整数 倍 (该 情况 下 为 0 )。 这 使 UPack 文 件 能 够 正常 运 


错误 。 


We 


ZT, 


正常 的 RVA 一 RAW 变换 如 下 。 


RAW = 1018 - 1000 + 0 = 18 
* PointerToRawData 被 识别 为 0。 


使 用 调试 器 查看 相应 区 域 的 代码 ， 如 图 18-21 所 示 。 


61661618| [71 
6188181D| f. 


0180181E| 


91964691F | [. 
61861622 | [... 










5001] MOU ESI,notepad .810011B8 
gos DWORD PTR DS:[ESI] 


实际 的 EP 地 址 代码 


PUSH DWORD PTR DS:[ESI+34] 
|| JHP SHORT notepad .01001000 


但 是 许多 PE 相关 实用 程序 都 会 发 生 
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现在 各 位 应 该 能 够 对 UPack 文 件 进行 正常 的 RVA 一 RAW 换 算 了 ， 


185.7 导入 表 (IMAGE IMPORT DESCRIPTOR array) 


UPack 的 导入 表 (Import Table ) 组 织 结构 相当 独特 ( 暗藏 玄机 )。 
下 面 使 用 Hex Editor 查 看 IMAGE IMPORT _DESCRIPTOR 结 构 体 。 首 先 要 从 Directory Table 中 
获取 IDT ( IMAGE IMPORT _DESCRIPTOR 结 构 体 数组 ) 的 地 址 ， 如 图 18-22 所 示 。 


ap agere 


DO Ed 









0 ua 



































Import Table 











23 ü2 06 14 QQ 00 GO 


























图 18-22 ”导入 表 地 址 


图 18-22 右 侧 框 选 的 8 个 字 节 大 小 的 data 就 是 指向 导入 表 的 IMAGE_DATA_DIRECTORY 结 构 
体 。 前 面 4 个 字 节 为 导入 表 的 地 址 ( RVA )， 后 面 4 个 字 节 是 导入 表 的 大 小 ( Size )。 从 图 中 可 以 看 
到 导入 表 的 RVA 为 271EE。 


使 用 Hex Editor 查 看 之 前 ， 需 要 先进 行 RVA 一 RAW 变换 。 首 先 确 定 该 RVA 值 属于 哪个 节 区 ， 
内 存 地 址 271EE 在 内 存 中 是 第 三 个 节 区 (参考 图 18-23 )。 


Ty Stud. PE operating on : “notepad_upack.exe” 
File Edit Tools Help 












































图 18-23 第 三 个 节 区 区 域 
进行 RVA 一 RAW 变换 ， 如 下 所 示 。 


RAW = RVA(271EE) - VirtuaLoffset(27000) + RawOffset(0) = 1EE 
注意 : 3rd Section 的 RawOffset 值 不 是 10， 而 会 被 强制 变换 为 90。 


使 用 Hex Editor 查 看 文件 偏 移 1EE 中 的 数据 ， 如 图 18-24 所 示 。 
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UÜffset(h) 88 81 82 83 84 85 86 87 88 89 80 BB 8C 8D BE BF 


660801D80 FB 01 08 OG 10 88 68 88 98 FC 01 61 9B FC 
800081E68 8 88 80 00 808 BE 68 


posero 
















Ç rN 
88 88 88 18 82 88 88 





63 80 08 008 50 80 80 88 DH 


图 18-24 文件 偏 移 1EE 


该 处 就 是 使 用 UPack 节 区 隐藏 玄机 的 地 方 。 
首先 看 一 下 代码 18-2 中 IMAGE IMPORT DESCRIPTOR 结 构 体 的 定义 ， 再 继续 分 析 ( 结构 体 


的 大 小 为 14 字 节 )。 


代码 18-2 IMAGE IMPORT DESCRIPTOR 结 构 体 


typedef struct IMAGE IMPORT DESCRIPTOR { 
union { 
DWORD Characteristics; 
DWORD OriginalFirstThunk; // INT 
}; 
DWORD TimeDateStamp; 
DWORD ForwarderChain; j 
DWORD Name; 
DWORD FirstThunk; // IAT 
)IMAGE IMPORT DESCRIPTOR; 


根据 PE 规范 ， 导 和 人 表 是 由 一 系列 IMAGE IMPORT DESCRIPTOR 结 构 体 组 成 的 数组 ， 最 后 
以 一 个 内 容 为 NULL 的 结构 体 结束 。 

图 18-24 中 所 选区 域 就 是 IMAGE IMPORT_DESCRIPTOR 结 构 体 数组 ( 导入 表 )。 偏 移 1EE~ 
201 为 第 一 个 结构 体 ， 其 后 既 不 是 第 二 个 结构 体 ， 也 不 是 ( 表示 导入 表 结 束 的 ) NULL 结 构 体 。 

乍 一 看 这 种 做 法 分 明 是 违反 PE 规范 的 。 但 是 请 注意 图 18-24 中 偏 移 200 上 方 的 粗 线 。 该 线条 表 
示 文 件 中 第 三 个 节 区 的 结束 (参考 图 18-23 )。 故 运行 时 偏 移 在 200 以 下 的 部 分 不 会 映射 到 第 三 
节 区 内 存 。 下 面 看 一 下 图 18-25。 


< 文件 > < 内 存 > Ax 


00808219 





offset 


00000000 00027000 


mapping 


映射 


000271FF 
00027200 


000001FF L 
00000200 





00028000 


图 18-25 第 三 个 节 区 


第 三 个 节 区 加 载 到 内 存 时 ， 文件 偏 移 0~1FF 的 区 域 映射 到 内 存 的 27000~271FF 区 域 , 而 (第 
三 个 节 区 其 余 的 内 存 区 域 ) 27200~28000 区 域 全 部 填充 为 NULL。 使 用 调试 器 查看 相同 区 域 ， 如 
图 18-26 所 示 。 
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818271D8|F8 81 AG 00 10 OG 88 HG 98 FC 01 61 9B FC 61 81,?..8...-5 
B18271E6 AA FC 81 01 60 08 88 EG 28 80 68 00 BE 8 

818271F8 

81027288 8 00 080 OO OO OO 66 OO OO OG GB OO 08 OG HA 

81827218 








8 88 OO 08 68 GB 88 HO GO 008 80 08 0G OO 88 
图 18-26 查看 第 三 个 节 区 的 内 存 区 域 


准确 地 说 ， 只 映射 到 010271FF， 从 01027200 开 始 全 部 填充 为 NULL 值 。 

再 次 返回 PE 规范 的 导入 表 条 件 , 01027202 地 址 以 后 出 现 NULL 结 构 体 , 这 并 不 算 违 反 PE 规 范 。 
而 这 正 是 UPack 使 用 节 区 的 玄机 。 从 文件 看 导入 表 好 像 是 损坏 了 ， 但 其 实 它 已 在 内 存 中 准确 表现 
出 来 。 

大 部 分 PE 实用 程序 从 文件 中 读 导 入 表 时 都 会 被 这 个 玄机 迷惑 , 查找 错误 的 地 址 , 继而 引起 内 
存 引 用 错误 ， 导 致 程 序 非 正 常 终 止 (一 句 话 一 一 这 个 玄机 还 真是 妙 )。 


18.5.8 ”导入 地 址 表 


UPack 都 输入 了 哪些 DLL 中 的 哪些 API 呢 ? 下面 通 过 分 析 IAT 查 看 。 把 代码 18-2 的 
IMAGE_IMPORT_DESCRIPTOR 结 构 体 与 图 18-24 进 行 映射 后 ， 得 到 下 表 18-2。 


表 18-2 UPack 的 IMAGE_IMPORT_DESCRIPTOR 结 构 体 的 重要 成 员 





偏 移 成 员 RVA 
IEE OriginalFirstThunk(INT) 0 
IFA Name 2 
IFE FirstThunk(IAT) 11E8 


首先 Name 的 RVA 值 为 2， 它 属于 Header 区 域 (因为 第 一 个 节 区 是 从 RVA 1000 开 始 的 )。 
Header 区 域 中 RVA 与 RAW 值 是 一 样 的 ， 故 使 用 Hex Editor 查 看 文件 中 偏 移 (RAW ) 为 2 的 
区 域 ， 如 图 18-27 所 示 。 


Offset(h) 88 81 82 03 Bn 85 86 87 88 89 GA ƏB ƏC 8D OE BF 





80800000 4D Sñ BB 45 52 NE 45 4C 33 32 At AC B8 eo [i ERMEL i E 
ds 


80000810 580 45 80 00 4C 01 03 08 BE BG 11 88 81 AD 58 FF PE. L. 


图 18-27 文件 偏 移 2 


在 偏 移 为 2 的 区 域 中 可 以 看 到 字符 串 KERNEL32.DLL 。 该 位 置 原本 是 DOS 头 部 分 
(IMAGE DOS HEADER )， 属 于 不 使 用 的 区 域 ，UPack 将 ImportDLL 名 称 写 人 该 处 。 空 白 区 域 一 
点 儿 都 没 浪费 ( 好 节俭 的 UPack )。 得 到 DLL 名 称 后 ， 再 看 一 下 从 中 导入 了 哪些 API 函 数 。 

一 般 而 言 ， 跟 踪 OriginalFirstThunk (INT ) 能 够 发 现 API 名 称 字 符 串 ,但 是 像 UPack 这 样 ， 
OriginalFirstThunk ( INT ) 为 0 时 ， 跟 踪 FirstThunk( IAT ) 也 无 妨 ( 只 要 INT、IAT 其 中 一 个 有 API 
名 称 字符 串 即 可 )。 由 图 18-23 可 知 ，IAT 的 值 为 11E8, 属于 第 一 个 节 区 , 故 RVA 一 RAW 换 算 如 下 。 


RAW = RVA(11E8) - VirtualOffset(1000) + RawOffset(0) = 1E8 
* 注意 : lst Section 的 Raw0ffset 值 不 是 10， 而 是 被 强制 转换 为 0 


IAT 的 文件 偏 移 1E8 显 示 在 图 18-28 中 。 





Pp a w 3j ERTS TE 
088001F0 B8 gH 88 gi 80 O8 O0 OO GO GO 62 00 08 88 E8 11 — Bear anisat ë. 
80000200 88 HO OH 00 HO O0 O8 00 OO 00 OO 08 OO OO 08 BO ................ 


图 18-28 文件 偏 移 1E8 
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图 18-28 中 框 选 的 部 分 就 是 IAT 域 ， 同 时 也 作为 INT 来 使 用 。 也 就 是 说 ， 该 处 是 Name Pointer 
(RVA ) 数组 ， 其 结束 是 NULL。 此 外 还 可 以 看 到 导入 了 2 个 API， 分 别 为 RVA 28 与 BE。 

RVA 位 置 上 存在 着 导入 函数 的 [ordinal+ 名 称 字符 串 ]， 如 图 18-29 所 示 。 由 于 都 是 header 区 域 ， 
所 以 RVA 与 RAW 值 是 一 样 的 。 





Dffset(h) 88 01 82 03 04 85 06 07 88 69 868 OB GC DD GE OF 


00080018 58 45 80 00 4C 01 03 80 BE BO 11 OA 61 AD 58 FF PE..L...725... PÜ 
880008828 76 34 EB 7C 48 81 OF 01 OB 81 4C 6F 61 6h 4C 69 unë 四 
08000030 62 72 61 72 79 51 00 00 18 10 00 18 08 08 08 uU 
68000840 NO 90 60 00 OG GG 00 O1 08 10 66 00 GG 82 08 88 ................ 
80000050 04 80 08 00 00 39 00 O4 00 O0 88 08 08 08 ...... U.-seesus 
808800060 OG 80 02 OO G8 02 OG OG O0 OO GN 00 82 08 00 88 .€&............ € 
08000070 OG 00 05 00 00 40 01 88 00 OG 18 08 00 18 08 BA ................ 
808000880 86 08 60 86 Oh 88 GA OG O8 OG OB OG OB OB OB 88 ................ 
08080090 EE 71 82 08 14 80 60 80 08 50 G1 O8 DA óD 08 86 
88000880 FF 76 38 AD 50 8B 3E BE F8 70 82 81 óA 27 59 F3 
8800800B0 A5 FF 76 O4 83 C8 FF 8B DF AB EB 1C 00 00 00 88 
0888880 47 65 7h 58 72 6F 63 81 6h 6h 72 65 73 73 88 88 
88800800 HO 08 80 HG 88 00 80 50 AB 4O B1 Oh F3 ñB C1 
















图 18-29 导入 函数 的 [ordinal+ 名 称 字符 串 ] 


从 图 18-29 中 可 以 看 到 导入 的 2 个 API 函 数 ， 分 别 为 LoadLibraryA 与 GetProcAddress， 它 们 在 形 
成 原文 件 的 IAT 时 非常 方便 ， 所 以 普通 压缩 器 也 常常 导 人 使 用 。 


18.6 小结 


本 章 详细 讲解 了 UPack 的 独特 PE 文件 头 相关 知识 。 学 习 PE 文 件 格式 时 虽然 未 涉及 各 结构 体 的 
所 有 成 员 ， 但 分 析 UPack 压 缩 的 可 执行 文件 的 PE 文件 头 (PE 文件 头 变形 得 很 厉害 )， 会 进一步 加 
深 大 家 对 PE 文件 格式 的 了 解 。 这 些 内容 虽 然 对 初学 者 有 些 难 , 但 是 如 果 多 努力 去 理解 并 掌握 这 些 
内 容 ， 以 后 无 论 遇 到 什么 样 的 PE 文件 头 都 能 轻松 分 析 。 


Q. UPack 压 缩 器 是 病毒 文件 吗 ? 


A，UPack 压 缩 器 本 身 不 是 恶意 程序 。 但 是 许多 恶意 代码 制作 者 用 UPack 来 压缩 自己 的 恶意 代 
码 ,使 文件 变 得 畸形 ,所 以 许多 杀毒 软件 将 UPack 压 缩 的 文件 全 部 识别 为 病毒 文件 并 删除 。 
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本 章 将 调试 UPack 上 压缩 的 记事 本 ( notepad upack.exe ) 文件 以 查找 OEP。UPack 会 对 PE 文件 头 
进行 独特 变形 ， 但 并 未 应 用 反 调试 技术 ( Anti-Debugging )， 调 试 起 来 并 不 费劲 。 


19.1 OllyDbg 运行 错误 


由 于 UPack 会 将 IMAGE_OPTIONAL HEADER 中 的 NumberOfRvaAndSizes 值 设置 为 A (默认 
值 为 10 )， 所 以 使 用 OllyDbg 打 开 notepad_upack.exe 文 件 时 ， 初 始 检 查 过 程 中 会 弹出 错误 消息 对 话 
框 ， 如 图 19-1 所 示 。 


e Bad or unknown format of 32-bit executable file `C W'workwnotepad_upack.exe' 





图 19-1 ”OllyDbg 的 错误 消息 框 


这 不 是 什么 非常 严重 的 错误 ， 按 “确认 ”按钮 关闭 该 对 话 框 。 上 面 这 个 错误 导致 OllyDbg 无 
法 转 到 EP 位 置 ， 停 留 在 ntdll.dll 区 域 ， 如 图 19-2 所 示 。 


CPU - main thread, module ntdll 











7C93120F Í RET 

70931210 MOU 

7t931212 | CC INT3 

7931213 | C3 RETN 

7931215 | 8BFF MOU EDI,EDI 

70931216 | 8B4424 8h MOU EAX,DWORD PTR SS:[ESP*A4] 
7t93121n0 | CC INT3 

7093121B t2 8588 RETN 4 

7C931214E | 64:A1 18888880 MOU EAX,DWORD PTR FS:[18] 
70931224 | C3 RETN 

7934225 | 57 PUSH EDI 

70931226 | 8B7C24 BC MOU EDI,DWORD PTR SS:[ESP+C] 
70931228 | 8B5h2h 08 MOU EDX,DUORD PTR SS:[ESP*8] 
7093122E | C702 88888888 | HOU DWORD PTR DS:[EDX],8 
7693123h | 8978 8h MOU DWORD PTR DS:[EDX*h],EDI 
70931237 | BBFF OR EDI,EDI 

7C931239 |. 74 1E JE SHORT ntd11.7931259 
7C93123B 8369 FF OR ECN,FFFFFFFF 


图 19-2  ntdll.dIL 83 [X f, 


该 现象 是 由 OllyDbg 的 Bug (或 者 严格 的 PE 检查 ) 引起 的 ， 所 以 需要 强制 设置 EP。 首 先 要 查 
找 EP 位 于 何 处 。 下 面 使 用 Stud_ PE 查找 EP 的 虚拟 地 址 。 

如 图 19-3 所 示 ，ImageBase 为 01000000，EP 的 RVA 为 1018， 经 过 计算 可 知 EP 的 VA 值 为 
01001018。 在 OllyDbg 的 代码 窗口 中 转 到 01001018 地 址 处 ， 使 用 New origin here 命 令 强制 更 改 EIP 
寄存 器 中 的 值 ， 如 图 19-4 所 示 。 
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3 otud_PE operating on ; "notepad -upack.exe” 
e Edit Tools 











T 8001000 Sections Alignment 
| nn s Fel P Ini is 
DD 1 

















otepad .018811B8 
Backup 
























6168181E Tany 
81080181F : 
81901022|. EB 7€ "a TN 

81801025| A8 a 

81081025| 0168F app Label : 

81881827)  0190B ADD Comment ; 

8108001029)  815C6F 61 ADD Breakpoint » | Ecx 


81881820|  6h:hC Run trace 
8100102F| 6962 72 61727941 一 
01801036| 6888 here 
81881038; 1818 SBH ~ ME ran 
51881983A) 8808 ADD Follow in Dump » 
8188183C| 1888 ADC- AS 
0188183E| 6008 ADD Search for i 
8410084080 80090 60000080 ADD Find references to d 
01881056] 0001 ADD View , 
b 
> 
















L CGI y 















818001058 0018 ADD Copy to executable 
61860104A 8888 ADD Analysis 

81881040C 8882 BD —————— 一 
8180104E| 8008 ADD Appearance 
01881858| 0^ 88 ADD f 


图 19-4 ”UPack 的 EP 代码 
执行 New origin here 命 令 时 会 弹出 警告 消息 框 , 单 击 “ 确 定 ” 按钮 , 接 下 来 就 可 以 正常 调试 了 。 


19.2 解码 循环 


所 有 压缩 器 中 都 存在 解码 循环 ( Decoding Loop )。 如 果 明 白 压 缩 /解压 算法 本 身 就 是 由 许多 条 
件 分 支 语句 和 循环 构成 的 ， 那 么 可 能 就 会 理解 为 何 解码 循环 看 上 去 如 此 复杂 。 

调试 这 样 的 解码 循环 时 , 应 适当 跳 过 条 件 分 支 语句 以 跳出 某 个 循环 。 有 些 情 况 下 循环 较为 复 
AR. 无 法 迅速 把 握 。 调 试 中 要 仔细 观察 寄存 器 ,注意 相应 值 被 写 人 哪些 地 址 ( 其 实 这 也 需要 丰富 
的 经 验 )。 

UPack 把 压缩 后 的 数据 放 到 第 二 个 节 区 ， 再 运行 解码 循环 将 这 些 数据 解压 缩 后 放 到 第 一 个 节 
区 。 下 面 从 EP 代码 开始 调试 ， 如 图 19-5 所 示 。 
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CPU - main thread, module notepad.. 


61801018| BE B8110801 |MOU ESI,notepad .818011B8 
81881810 :[ESI] 
WELL — L. 


01001091E | 
68188181F 
$1881822|. EB 7C 
81901825 48 






















FF76 34 — PUSH DWORD PTR DS:[ESI+34] kerne132 aruñ 
JMP SHORT notepad .8610816A0 


DEC ERX notepad .86188739D 





图 19-5 ”UPack 调 试 


前 2 条 指令 用 于 从 010011B0 地 址 读 取 4 个 字 节 ， 然 后 保存 到 EAX。EAX 拥 有 值 0100739D， 它 
是 原本 notepad 的 OEP ( 分 析 一 下 LODS DWORD PTR DS:[ESI] 指 令 可 知 ， 该 指令 从 ESI 所 指 的 地 
址 处 读 取 4 字 节 存储 到 EAX 寄存 器 ). 事实 上 ， 如 果 事 先知 道 该 值 是 OEP,， 那么 可 以 直接 设置 硬件 
断 点 ， 再 按 F9 键 运行 ， 就 会 在 OEP 处 暂停 。 

JE a= ai i U 
代码 逆向 技术 人 员 谈 及 设置 断 点 后 运行 时 , 常常 使 用 “ 挂 断 点 跑 程 序 ” 这 样 的 表达 。 








我 们 的 目标 是 提高 调试 水 平 ， 所 以 继续 调试 ( 如 果 早 已 熟悉 ， 挂 上 断 点 跑 程 序 即 可 )。 经 过 
一 阵 调试 后 ,会 出 现 图 19-6 所 示 的 函数 调用 代码 。 











[8 CPU - main thread, module notepad.. 


0101FD11 POPFD 

0181FD412 c3 RETN 

8181FD13 58 POP ERX 

8181FD435 8D5483 58 LER EDX ,DWORD PTR DS:[EBX+EAX*4+58 
O : 

6101FD1R JB SHORT notepad .8181FDó6B 

8181FD1C| 8h FD ADD AL ,BFD 

8181FD1E 1AD2 SBB DL,DL 

8181FD28| 22C2 AND RL,DL 























DS:[06182718C]-0181FCCB (notepad .0181FCCB) 


图 19-6 ”函数 调用 


此 时 ESI 的 值 为 0101FCCB ， 该 地 址 就 是 decode0O 函 数 的 地 址 ， 后 面 会 反复 调用 执行 该 函数 。 
接 下 来 略 看 一 下 decode0 函 数 ( 101FCCB )， 如 图 19-7 所 示 。 
















8101FCCB a 

8181FCCC 8863 MOU EAX,DWORD PTR DS:[EBX] 
0184FCCE 52 PUSH EDX 

8484FCCF C1E8 8B SHR ERX,9B 

1601FCD2 F722 MUL DWORD PTR DS:[EDX] 
81B4FCDS 8B53 FÜ MOU EDX,DWORD PTR DS:[EBX-A] 
B181FCD7 8B12 MOU EDX,DWORD PTR DS:[EDX] 
8181FCD9 arca BSWRP EDX 

$101FCDB 2B53 8h SUB EDX,DWORD PTR DS:[EBX*A] 
9181FCDE 3BC2 CHP ERX,EDX 

g1O1FCEG 5A POP EDX 

8101FCE1 |, 76 OF JBE SHORT notepad_.0101FCF2 
8181FCE3 8903 MOU DWORD PTR DS:[EBXN],EARX 
8181FCES 33C0 XOR ERX,ERX 

8181FCE7 B4 08 MOU RH,8 

181FCE9 2802 SUB ERX,DWORD PTR DS:[EDX] 
8181FCEB C1E8 85 SHR ERX,5 

0101FCEE 8102 ADD DWORD PTR DS:[EDX],EAX 
8101FCFB8 |, EB 8D JMP SHORT notepad .8181FCFF 
ü1ei1FCF2 8153 054 ADD DWORD PTR DS:[EBX*A4],ERX 
1 人 1FPFS 2002 SIIR nunRn PTR n«-TFRXI FAX 


图 19-7 decode() 函 数 
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仅 从 这 部 分 来 看 , 还 搞 不 清楚 这 段 代 码 的 用 途 。 使 用 StepInto(E7) 命 令 继续 跟踪 调试 ， 遇 到 图 
19-8 所 示 的 代码 。 


[3 CPU - main thread, module notepad.- 


B101FE55 SUB ESI CUL 








8161FE58 POP ESI 
0181FE5B MOU CL,88 








JB notepad .8181FD13 
181FE67 POP ERX 
8101FE68 5F POP EDI 
8101FE69 POP ECX 
EL 





















(notepad .818614B5A) 
-01001001), ASCII "ZKERNEL32.DLL" 








EDI=01001001 (no 





图 19-8 解压 缩 后 的 代码 


0101FE57 与 0101FE5D 地 址 处 有 “向 EDI 所 指 位 置 写 人 内 容 ” 的 指令 。 此 时 EDI 值 指向 第 一 个 
节 区 中 的 地 址 。 也 就 是 说 ， 这 些 命令 会 先 执行 解压 缩 操作 ， 然 后 写 人 实际 内 存 。 在 0101FE5E 与 
0101FE61 地 址 处 通过 CMP/JB 指 令 继续 执行 循环 , 直到 EDI 值 为 01014B5A( [ESI+34]=01014B5A )。 
地 址 0101FE61 即 是 解码 循环 的 结束 部 分 。 实 际 上 ， 在 循环 反复 执行 时 跟踪 ， 可 以 随时 看 到 向 EDI 
所 指 地 址 写 人 了 什么 值 。 


19.3 设置 IAT 


一 般 而 言 ， 压 缩 器 执行 完 解 码 循 环 后 会 根据 原文 件 重新 组 织 IAT。UPack 也 有 类 似 过 程 ， 请 
看 图 19-9。 





CPU - main thread, module notepad 

0101FE87 POP ESI 

01B1FE88 5D POP EBP 

8181FE89| 59 POP ECX 

8181FE8A| 46 INC ESI 

0181FES8B| ñD LODS DWORD PTR DS:[ESI] 
8181FE8C|  85C8 TEST ERXN,ERX 

8181FESE|. 75 1F JE SHORT notepad .8181FERF 


8181FE90| 51 PUSH ECX 
9181FE91 PUSH ESI 
8181FE92 XCHG EAX EDI 
9161FE93 ği PT —— F Tir 






8187 





TG EAX ED 
181FE96 LODS BYTE PTR DS:[ESI] 
0101FE97 85Cc8 TEST AL,AL 





01801FE99|^ 75 FB JNZ SHORT notepad .0101FE96 
B181FE9B| 3806 CMP BYTE PTR DS:[ESI],AL 
B181FE9D|^ 74 ER JE SHORT notepad .8181FE89 


8181FE9F 8BC6 MOU ERX,ESI 

$181FER1|., 79 85 JNS SHORT notepad .0101FEA8 
0101FER3  h6 INC ESI 

0161FERn^| 33C8 XOR ERX,EAX 

61801FER6|  66:RD LODS WORD PTR DS:[ESI] 
8181FER8 PUSH EAX 
SIE, PUSH EBX 
usa is 
STE : —ÉÉRÉUPURETT ~ 


0181FERD n SHORT notep ad. .0101FE96 




















图 19-9 设置 IAT 
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如 图 19-9 所 示 ，UPack 会 使 用 导入 的 2 个 


函数 ( LoadLibraryA 与 GetProcAddress ) 边 执行 循环 


边 构 建 原本 notepad 的 IAT ( 先 获取 notepad 中 导入 函数 的 实际 内 存 地 址 , 再 写 入 原 IAT 区 域 ), 该 过 


程 结束 后 ， 由 0101FEAF 地 址 处 的 RETN 命 令 将 


[IIEIE 


68 98180001 


91860739F 

918873604 E8 BF8108808 
51887389 33DB 

$188738B 53 

81897 3RC 8B3D CC188881 
81807382 FFD7 

8180907384 66:8138 4D5A 
81887389 |, 75 1F 
81087388 8B48 3C 
818873BE 83C8 

818873068 8139 58450888 
81887366 |. 75 12 
8186873C8 8FB741 18 
f818873CC 3D 8B818886 
91887301 |. 74 1F 
91887303, 3D 0B020000 
81887308 |, 74 85 





运行 转 到 OEP 处 ， 如 图 19-10 所 示 。 





[PUSH notepad_-61061898 


CALL notepad .801887568 
XOR EBX,EBX 

PUSH EBX 

HOU EDI ,DWORD PTR DS:[18818CC] 
CALL EDI 

CMP WORD PTR DS:[EAX],5A4D 

JNZ SHORT notepad_.818873DA 
HOU ECX,DWORD PTR DS:[EñX+3C] 
ADD ECX,EAX 

CHP DWORD PTR DS:[ECX],4558 
JNZ SHORT notepad_.810073DA 
MOUZX EAX,WORD PTR DS:[ECX+18] 
CHP EñX,18B 

JE SHORT notepad .010073F2 

CMP EñX,28B 





JE SHORT notepad .010073DF 


图 19-10 ”UPack 的 OEP 


各 位 辛苦 了 。 虽 然 分 析 Upack 压 缩 的 PE 文件 头 难度 比较 大 ， 但 调试 却 相 对 容易 得 多 。 和 希望 各 
位 反复 翻 看 这 部 分 内 容 ， 不 断 调 试 ， 直 到 熟练 掌握 。 


19.4 ”小 结 





出 处 : UPack 制 作者 - dwing's homepage 


本 章 讲解 了 有 关 UPack PE 文件 头 分 析 与 调试 的 内 容 。 除 UPack 外 ， 还 有 许多 其 他 压缩 器 ， 之 
所 以 花费 大 量 的 时 间 与 精力 分 析 UPack 完 全 是 因为 我 个 人 的 学 习 体会 (经验 )。 
我 学 完 PE 知识 后 ， 以 为 已 经 完全 掌握 了 PE 文件 格式 的 相关 知识 , 但 接触 UPack 后 才 发 现 , 原 





来 PE 还 有 另 一 片 新 天 地 。 也 认识 到 ，PE 规 范 始终 只 


是 个 规范 而 已 ， 实 际 实现 会 受 PE 装载 器 的 开 


发 者 左右 ， 要 针对 不 同 版 本 的 OS 实际 测试 才 行 。 希 望 各 位 也 能 拥有 与 我 类 似 的 经 验 与 感受 ， 所 
以 本 章 详细 讲解 了 UPack。 当 然 ， 所 讲 内 容 未 完全 涵盖 PE 文件 头 的 “ 打 补 丁 ” 操 作 。 但 是 我 可 以 


自信 


告诉 大 家 : 只 要 征服 了 UPack， 以 后 不 论 遇 到 哪 种 变形 的 PE 文件 头 都 能 应 付 自 如 。 只 要 熟 


练 掌握 了 PE 文件 头 中 使 用 了 哪些 值 、 未 使 用 哪些 值 ， 就 能 轻松 分 析 各 种 变形 后 的 PE 文件 头 〈 这 


是 我 的 个 人 经 验 )。 


第 20 章 “内 能 补丁 ”练习 


对 加 密 文件 、 运 行 时 解压 缩 文 件 “ 打 补丁 ”时 ， 经常 使 用 “内 嵌 补 丁 ”( Inline Patch ) 技术 ， 
本 章 将 通过 示例 让 读者 了 解 、 学 习 。 


20.1 ArT 


“内 符 补 本 ”是 “内 和 能 代码 补丁 ”( Inline Code Patch ) 的 简称 ,难以 直接 修改 指定 代码 时 , 插 
人 并 运行 被 称 为 “洞穴 代码 ”( Code Cave) 的 补丁 代码 后 ， 对 程序 打 补 丁 。 常 用 于 对 象 程序 经 过 
运行 时 压缩 (或 加 密 处 理 ) 而 难以 直接 修改 的 情况 。 详 细 说 明 参 见 图 20-1。 


之 前 之 后 








图 20-1 内 艇 代码 补丁 


图 20-1 左 图 描述 的 是 典型 的 运行 时 压缩 代码 ( 或 者 加 密 代 码 )。EP 代 码 先 将 加 密 的 OEP 代 码 
解密 ， 然 后 再 跳 转 到 OEP 代 码 处 。 若 要 打 补 丁 的 代码 存在 于 经 过 加 密 的 OEP 区 域 是 很 难 打 补 丁 的 
( 即使 知道 代码 所 在 位 置 也 是 如 此 )， 因 为 解码 过 程 中 可 能 会 解 出 完全 不 同 的 结果 。 

解决 上 述 问 题 的 简单 方法 就 是 如 图 20-1 中 右 图 所 示 ， 在 文件 中 另外 设置 被 称 为 “洞穴 代码 ” 
的 “补丁 代码 ”，EP 代 码 解 密 后 修改 JMP 指 令 , 运行 洞穴 代码 。 在 洞穴 代码 中 执行 补丁 代码 后 ( 由 
于 已 经 解密 OEP， 故 可 以 这 样 修改 )， 再 跳 转 到 OEP 处 。 也 就 是 说 ， 每 次 运行 时 (运行 另外 的 补 
丁 代 码 ) 都 要 对 进程 内 存 的 代码 打 补 丁 , 所 以 这 种 打 补 丁 的 方法 被 称 为 “内 嵌 代 码 补丁 ”法 或 “内 
髓 补丁 ”法 。 这 也 是 它 与 一 般 修改 代码 方法 的 不 同 。 表 20-1 中 列 出 了 普通 代码 补丁 与 内 幅 补 丁 的 
不 同 之 处 。 
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表 20-1 ET SARRANT AIA E 





代码 补丁 内 嵌 补 丁 
对 象 文件 文件 & 内 存 
次 数 1 次 文件 中 1 次 ， 内 存 中 每 次 运行 时 
方法 直接 (直接 对 指定 位 置 打 补 丁 ) 间接 〈 提 前 设置 洞穴 代码 ， 在 内 存 中 对 指定 区 域 解密 时 打 补 丁 ) 


20.2 练习 : Patchme 


一 名 叫 ap0x 的 代码 逆向 分 析 者 制作 了 一 个 patchme 程 序 ， 它 是 完全 公开 的 ， 用 来 帮助 大 家 学 
习 代码 逆向 分 析 技 术 。 本 小 节 使 用 这 个 简单 的 示例 ， 向 各 位 充分 展现 “内 骨 补 丁 ” 这 一 方法 。 


http://apOx.jezgra.net/download/patchme nol.rar 
(出 处 : apOx - Reversing Labs 网 页 ) 


这 是 一 个 非常 简单 的 小 程序 ， 总 共 5KB。 先 检查 它 是 否 含有 病毒 代码 再 运行 。 
运行 程序 ， 弹 出 如 图 20-2 所 示 的 消息 框 ， 要求 更 改 显示 的 字符 串 。 单 击 “ 确 定 ” 按 钮 ， 弹 出 
图 20-3 所 示 的 对 话 框 。 





<<< ApUx / Patch & Unpack Me #1 >>> [x] 


$* <<< ApUx / Patch & Unpack Me #1 >>> fs) 


i i ) | You must patch this NAG IH! 


Status Teu must unpack me 1 





图 20-2 ”消息 框 图 20-3” 主 对 话 框 


对 话 框 中 有 一 个 字符 串 要 求解 压 其 本 身 ( unpackme )。 这 个 patchme 程 序 比 较 简 单 ， 只 要 修改 
上 面 2 处 字符 串 即 可 。 但 问题 是 程序 文件 中 2 个 字符 串 都 处 在 加 密 状 态 ， 难 以 修改 。 


20.3 ”调试 查看 代码 流 
首先 使 用 OllyDbsg 打 开 程序 文件 ， 如 图 20-4 所 示 。 


00401000 F 



















884581801 CALL unpacknme.004010E9 

086501886 RETN 

860581087 bB EC 

88501808 | . DB 28 CHAR ' ' 
88581809 | . 44 75 44 27 |ASCIT "DuD'ha'sont'ankb" 

00581819 - 27 6F 66 74 | aSCII "'oft'ebbi'jhcnan" 

88481829 62 DB 62 CHAR 'b' 
80581828 63 bB 63 CHAR 'c' 
885601828 27 DB 27 CHAR ''* 
8050102€ 26 DB 26 CHAR '&' 
08401029 26 DB 26 CHRR '&' 
00406102E 26 DB 26 CHAR '&' 
88461682F 97 DB 87 

8805681038 EC DB EC 

88401831 80 DB 08 

0801501032 42 DB 42 CHAR 'B' 
89845016033 75 DB 75 CHRR 'u' 
80561034 75 DB 75 CHAR 'u' 
904016835 68 DB 68 CHAR 'h' 
80581036 75 DB 75 CHAR 'u' 
88401837 3D DB 3D CHAR '=' 
60461038 07 DB 87 














ÉE820-4 EPRE 
EP 代 码 非常 简单 。 地 址 401007 之 后 即 是 加 密 代 码 。 为 了 查找 图 20-2 与 图 20-3 中 出 现 的 消息 ， 
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选择 鼠标 右键 菜单 中 的 Search for All referenced text strings， 如 图 20-5 所 示 。 


El Text strings referenced in unpackme:.text 


DuD' ha’ sont” ankb' 
VER 


gen”, a 
“el e 
"user32.dll" 

"Ex itProcess", » 
ai Modu LeHand len" 


"ernel32. gl i",8 
LIES WIN", 


DDDDDD 
ooo 
GO 











图 20-5 Search for All referenced text strings 
如 预料 的 一 样 ， 所 有 字符 串 都 处 在 加 密 状 态 ， 这 种 情形 下 无 法 查找 到 指定 字符 串 。 在 图 20-4 


中 跟踪 进入 401001 地 址 处 CALL 命 令 调 用 的 函数 ( 4010E9 )， 执 行 一 段 时 间 后 遇 到 图 20-6 所 示 的 
代码 。 











86040189B | 






HOU EBX ,ERX 
















884861892 || - 8BD8 unpackme . 884818F5 
8850189E || . B9 55818888 | HOU ECX,154 
8804010803 | > 8033 44 XOR BYTE PTR DS:[EBX], 45 
0001806 | . S3E9 81 SUB ECX,1 
884818809 | . 43 INC EBX 
80581980 | . 83F9 00 CHP ECX,8 
8650180D | .~ 75 F4 JNZ SHORT unpackme.860581883 
884818AF | . 58 PUSH ERX unpackne . 88054818F5 
965818890 | . ES 88806888 |CALL unpackne.60856818BD 
86501985 | . 50 PUSH ERX unpackne . 00560180F5 
865801986 | . E8 7EFFFFFF |CALL unpackme . 890461839 
B65018BB || - 58 POP EAX unpackne . 80481 8F4 
884618BE |L. C3 RETN 

图 20-6 解密 循环 


这 段 代 码 就 是 解密 循环 。 地 址 4010A3 处 的 XOR BYTE PTR DS:[EBX],44 语 句 使 用 XOR 命 令 对 
特定 区 域 (4010F5-401248 ) 解密 。 跟 踪 进 入 地 址 4010B0 处 CALL 命 令 调用 的 函数 ( 4010BD ), 
可 以 看 到 另外 2 个 解密 循环 ， 如 图 20-7 所 示 。 


88^818BD 





MOU EBX,unpackme . 08401887 





8840188E | . BB 87105080 

8858180C3 | . B9 7F008888 | MOU ECX,7F 

88501868 || > 86033 97 XOR BYTE PTR DS:[EBX],7 

865018CB || . 83E9 01 SUB ECX,1 | 

885818CE || . 43 INC EBX unpacknme . 880401249 
B8A4818CF . 83F9 98 CHP ECX ,8 

88501802 || .~ 75 F4 JHZ SHORT unpackme .9884818C8 

9889491604 | . 8BD8 HOU EBX,ERX unpackne . 084818F5 
88501006 | . B9 55010088 | MOU ECX,155 

8980401608 || > 8033 11 XOR BYTE PTR DS:[EBX],11 

S84818DE || . 83E9 81 SUB ECX,1 

0056810E1 . 43 INC EBX unpacknme . 68401249 
88580160E2 . 83F9 88 CHP ECX,8 

805010ES || .~ 75 F4 JNZ SHORT unpackme . 00401808B 

8865018E7 || . 58 POP ERX unpackne . 88481885 
885018E8 |L. c3 | RETN 











图 20-7 另 一 段 解密 代码 
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地 址 4010C8 处 的 XOR 命 令 用 来 解密 401007~401085 区 域 ， 然 后 再 使 用 4010DB 地 址 处 的 XOR 
命令 对 4010F5~401248 区 域 解密 。 特 别 是 该 区 域 与 图 20-6 中 解密 区 域 一 致 ， 由 此 可 知 该 区 域 经 过 
双重 加 密 处 理 。4010BD 函 数 调 用 完毕 后 遇 到 4010B6 地 址 处 的 CALL 401039 命 令 ， 如 图 20-6 所 示 。 
跟踪 进入 被 调用 的 函数 (401039 )， 看 到 图 20-8 所 示 的 代码 。 






80581039 | $ 58 PUSH ERX unpackme.80501288 
884801838 | . 88D8 HOU EBX,ERX unpackme . 88481288 
80486103C | - B9 55010888 | MOU ECX,154 

88501851 | . BA 88686088 |MOU EDX, 8 

880581856 | > 0313 ADD EDX, DWORD PTR DS:[EBX] 

88401848 | - S3E9 81 SUB ECX,1 

80486184B | . 43 INC EBX unpacknme . 80501288 
80540184C€ | . 83F9 60 CHP ECX,8 

00481804F | .~ 75 F5 JN2 SHORT 805481856 

808401851 | . B8 501248080 |HO0U ERX,XJMP .&user32 .BeginPaint» 

88501856 | . BE 88125088 |HOU ESI,800501288 

8064091858 PUSH EAX unpackme.00501280 
88581856 PUSH ESI unpacknme . 060481240 


9058185 













880581806 
88040186A 





PUSH 38 i 
32108008 PUSH 88581032 ASCII "Error:" 











804801066 

80581871 69104000 |PUSH 005016009 ASCII "CrC of this file 
08581876 | . 88 PUSH 8 

88501078 | . E8 E5010888 |CALL €XJHP.&user32.HessageBoxfi» 

89840107D | . 58 PUSH ERX unpackme.88501288 
8859187E | . E8 F18188880 |CALL CXJHP.&kernel32.ExitProcess? 

80481883 | >, E9 9601608808 | JHP 00486121E 

8001088 | . 58 POP EAX unpackme . 00461288 
805801089 | . C3 RETN 


图 20-8 ”401039 函 数 


401039 函 数 中 需要 注意 的 是 位 于 401046 地 址 处 的 校 验 和 计算 循环 。 首先 使 用 401041 地 址 处 的 
MOVEDX.,0 命 令 ， 将 0 代入 〈 初 始 化 ) EDX。 然 后 使 用 401046 地 址 处 的 ADD 命 令 ， 从 特定 地 址 区 
HÈ (4010F5-401248 ) 以 4 个 字 节 为 单位 依次 读 入 值 ， 进 行 加 法 运算 后 ， 将 累加 结果 存储 到 EDX 
寄存 器 。 

循环 结束 时 ，EDX 寄 存 器 中 存储 着 某 个 特定 值 ， 这 就 是 校 验 和 值 。 由 前 面 的 讲解 可 知 ， 该 校 
验 和 计算 区 域 是 一 个 双重 加 密 区 域 。 可 以 推测 出 ， 我 们 要 修改 的 字符 串 就 存在 于 此 。 

-RE 
EDX 寄存 器 为 4 个 字 节 大 小 ， 像 这 样 向 其 中 不 断 加 上 4 个 字 节 的 值 ， 就 会 发 生 溢 
出 (overflow) 问题 。 一 般 的 校 验 和 计算 中 常常 忽略 该 洲 出 问题 , 使 用 最 后 一 个 保存 在 
EDX 的 值 。 





位 于 地 址 401062~401068 处 的 CMP/ 正 命令 用 来 将 计算 得 到 的 校 验 和 (存储 在 EDX 寄 存 器 的 ) 
值 与 31EB8DB0O 比 较 , 车 相同 ( 表示 代码 未 被 改动 过 )， 则 由 401083 地 址 处 的 JMP 指 令 跳 转 到 OEP 
(40120.) Ab; 若 不 同 ， 则 输出 错误 信息 “CrC of this file has been modified!!!”， 终 止 程序 。 

这 种 校 验 和 计算 方法 常常 用 来 验证 特定 区 域 的 代码 /数据 是 否 被 改动 过 。 只 要 指定 区 域 中 的 
一 个 字 节 发 生 改 变 ， 校 验 和 值 就 会 改变 。 所 以 更 改 了 指定 区 域 中 的 代码 /数据 时 ， 一 定 要 修改 校 
验 和 比较 相关 部 分 。 

图 20-9 中 显示 的 是 OEP 代 码 ， 用 来 运行 对 话 框 。 执 行 位 于 40123E 地 址 处 的 CALL 
user32.DialogBoxParamA0 命 令 后 ， 即 弹出 对 话 框 。 下 面 是 DialogBoxParamA() API 的 定义 。 
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88581220 55888888 CALL -&kerne GetHoduleHandlef 
88401225 18384088 | HOU DWORD PTR DS: [M03815]. EÑ unpackne . 800401280 
880501220 88 PUSH 0 lParam = NULL 
60489122C F518648688 | PUSH unpackme.80050108F5 DlgProc = unpackme. 
88581231 88 PUSH 8 hüuner = NULL 
88501233 243804888 | PUSH unpackme . 8654036024 plemplate = "TESTUI 
884501238 | . FF35 1830408 PUSH DWORD PTR DS:[463618] hinst = NULL 
88649123E | . E8 8D880888 |CALL XJHMP.&user32.DialogBoxPiLDialogBoxParamf 
88581253 | . 58 PUSH ERX Exittode = 581288 
88501254 | . ES 2B888888 |CALL XJHP.&kernel32.ExitProc(LExitProcess 
图 20-9 OEP 代码 
INT_PTR WINAPI DialogBoxParam( 
_in opt HINSTANCE hInstance, 
y dm LPCTSTR lpTemplateName, 
.in opt HWND hwndParent, 
.in opt DLGPROC lpDialogFunc, 
' AEn LPARAM dwInitParam 
出 处 ，MSDN 


DialogBoxParamA() API 的 第 四 个 参数 lpDialogFunc 用 来 指出 Dialog Box Procedure 的 地 址 (在 


OllyDbg 中 显示 为 DlgProc )。 图 20-9 的 40122C 地 址 处 有 条 PUSH 4010F5 命 令 ， 


由 此 可 见 ， 函 数 第 


四 个 参数 DlgProc 的 地 址 为 4010F5。 图 20-10 是 DlgProc ( 4010F5 ) 的 代码 ， We 
要 修改 的 字符 串 ( 下 面 的 方 框 中 会 使 用 这 些 字符 串 )。 


通过 以 上 简单 的 调试 ， 我们 大 致 把 握 了 程序 的 流向 ， 


0048106 




















. 8BEC 
9005018F8| . 83C4 CA 
90048018FB| . 817D BC 10810800 
90461102) .. GF85 C8000000 
CEDAT EB 17 
out 

TT TT 
00401141] . 3C 3C 3C 20 41 70 
00401151] . 28 26 28 55 6E 78 
90481161] . 3E 3E 3E 08 
88484165] > 68 41115000 
80481168| . ÓA 88 
0040116t| . óA GC 
80484146E] . FF75 88 
96481171] . E8 F2088008 
90501176) . 68 C8000808 
80581178; FF35 18304888 
004841481] . E8 D6000000 
80481186| . A3 20385888 
00481188| . FF35 20304008 
80481191] . 6A 81 
$04801193| . 68 80008008 
005601198] . FF75 08 
$0501198| . ES C8800808 
80481108| . BB 01808008 
884641A5 | 68 00115086 
80481160| . 68 6h 
80560118C| - FF75 08 
8648110F| . ES BAG88800 
8048118 j . 6ñ 40 
88581186) . 68 51114888 
89481418B] . 68 23115008 
08n811C0 . FF75 808 
80581163 ES 90080008 


ASCII 





M0U 
ADD 
CHP 
JNZ 


EBP ,ESP 
ESP,-50 


unpackme.005011D0 
EX unpackne.. pon 01121 





ASCII "me fff", 


ASCII "Vou must patch t“ 


ahi 


“<<< Apax / Pateh“ 
ASCII " B Unpack He M " 


ASCII 


ASCII ">>>",0 

PUSH unpackme . 88481141 
PUSH 6 

PUSH 6C 

PUSH DWORD PTR SS:[EBP*8] 
CALL 
PUSH 
PUSH DWORD PTR DS:[483818] 
CALL <JMP .&user32.LoadIconA>» 
MOU DWORD PTR DS:[483828],ER 
PUSH DWORD PTR DS:[483028] 

| PUSH 1 

PUSH 80 

PUSH DWORD PTR SS:[EBP+8] 
CALL €JMP.&user32.SendMessag 


ecg 


"TT — 
PUSH DWORD PTR SS:[EBP*8] 
CALL XJMP.&user32.SetDlgItem 
PUSH 40 








<JMP .&user32 .SendMessag 


CMP &user32. MessageBox 






DWORD PTR SS:[EBP+C], 19 


JMP SHORT unpackme . 80840113F | 


IrlParam = 401141 

i| wParam = 8 

Hessage = WM SETTEXT 
|| hund = 581808 
SendHessagen 
|rRsrcNane = 200. 
[inst = NULL 
LoadIconñ 

| unpackme .88481288 
|riParam = 8 

|| sparam = 1 

Hessage = WM SETICOUN 
hind = 501000 
SendHessagef 





00501000 
j C SetD1glItenTexth 
= MB OK|MB _ yendo ie s RPPL 
= "<<< hp8 


Tto 6 
hind = 









HessageBoxf 


图 20-10 ”DlgProc0 代 码 


以 及 要 修改 的 字符 串 所 在 的 位 置 


(40110A, 401123 ) ( 像 这 样 , 在 没有 源 代码 的 条 件 下 调试 二 进 制 文件 , 就 像 迷 路 时 寻 路 或 猜谜 一 
样 ， 让 人 觉得 非常 有 趣 )。 
该 程序 的 各 部 分 都 做 了 加 密 处 理 , 特别 是 要 修改 的 字符 串 被 加 密 过 两 次 。 并且 在 程序 内 部 针 
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对 字符 串 区 域 计 算 校 验 和 值 , 借以 检验 字符 串 是 否 发 生 更 改 , 这 些 都 大 大 增加 了 修改 字符 串 的 难 
度 。 对 于 这 样 的 程序 ， 使 用 常规 的 文件 修改 方法 难以 奏效 , 但 使 用 “内 骨 补 丁 ” 方 法 能 够 轻松 地 
“ 打 补 丁 ”。 

提示 一 
像 示 例 这 种 加 密 程 序 其 实 是 相当 简单 的 ， 综 合 考虑 XOR 加 密 与 校 验 和 代码 后 ， 可 
以 直接 修改 。 但 为 了 学 习 “ 内 识 补 本 ”这 一 技术 ， 我 们 不 会 使 用 该 方法 ， 而 是 按照 常 
见 做 法 添加 “洞穴 代码 ”修改 。 


20.4 代码 结构 


为 了 方便 说 明 , 首先 看 一 下 示例 代码 的 组 织 结构 。 若 把 握 了 代码 结 构 ， 就 能 很 容易 地 找 出 如 
何 对 哪些 代码 打 补 丁 。 

图 20-11 的 [A]、[B]、[C] 区 域 为 加 密 后 的 代码 ，[EP Code], [Decoding Code] 区 域 存在 着 用 于 
解密 的 代码 。 


ADDRESS SIZE 


401000 [EP Code] m 


401007 [AJ 


(TF) 





JMP 40121E ——— 


401083 
40108A 


[ Decoding Code ] (6B) 


4010F5 


40110A 
401123 
(154) 


40121E 


40124A 





(37) 





图 20-11 代码 结构 


大 致 的 代码 流 如 下 所 示 。 
401000 [EP Code] 
40109B [Decoding Code] 
4010A3 XOR [B] with 44 
4010C8 XOR [A] with 7 
4010DB XOR [B] with 11 
401039 [A] 
401046 Checksum [B] 
401090 XOR [C] with 17 


401083 JMP OEP 
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[EP Code] 只 是 用 来 调用 [Decoding Code] 的 ,实际 的 解密 处 理 是 由 [Decoding Code] 完 成 的 。 按 
照 [B]-[A]-[B] 的 顺序 解码 (XOR )， 运 行 解密 后 的 [A] 区 代码 。 在 [A] 区 代码 中 会 求 得 [B] 区 的 校 验 
和 , 并 据 此 判断 [B] 区 代码 是 否 发 生 过 更 改 。 然后 对 [C] 区 解码 ( XOR ), 最 后 跳 到 OEP 处 ( 40121E )。 

提示 —— r r———q A— —H[-Ñruvr  —Dm lo o hn 
建议 各 位 根据 代码 结构 与 代码 流 亲自 调试 确认 。“ 打 补丁 ”之 前 掌握 代码 结构 会 使 
操作 更 加 容易 ， 且 初学 者 在 这 一 个 过 程 中 也 会 感受 到 许多 乐趣 。 如 果 想 进一步 享受 调 
试 ， 建 议 各 位 调试 时 不 要 参考 “代码 结构 ”与 “代码 流 ” 内 容 。 自 己 动手 挑战 ， 成 功 
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实际 要 打 补 丁 的 字符 串 全 部 位 于 [B] 区 ， 如 前 所 见 ，[B] 区 是 特别 经 过 双重 加 密 处 理 的 ， 并 且 
要 通过 求 校 验 和 来 判断 是 否 发 生 更 改 ,所 以 直接 修改 字符 串 会 有 些 困难 。 此 时 ,一 种 更 易 使 用 的 
方法 就 是 利用 补丁 代码 的 “内 艇 补丁 ”法 (这 类 补丁 代码 称 为 “洞穴 代码 ”)。 

简单 说 一 下 操作 顺序 。 

首先 向 文件 合适 位 置 插入 用 于 修改 字符 串 的 代码 ， 然 后 在 图 20-11 的 [A] 区 域 将 JMP OEP 命 令 
修改 为 JMP 补 丁 代 码 ( 当然 修改 时 要 充分 考虑 文件 中 的 [A] 区 域 处 于 加 密 状 态 )。 若 运行 程序 时 遇 
到 [A] 区 中 的 JMP 补 丁 代码 语句 ，( 此 时 所 有 代码 均 处 于 解密 状态 且 通 过 校 验 和 验证 ， 所 以 ) 就 在 
补丁 代码 中 更 改 字 符 串 ， 通 过 JMP 命 令 跳 转 到 OEP 处 ， 这 样 整个 内 内 补 丁 过 程 就 完成 了 。 


20.5.1 补丁 代码 要 设置 在 何 处 呢 


这 个 问题 在 进行 内 艇 补丁 的 过 程 中 非常 重要 。 有 如 下 3 种 设置 方法 : 

C 设置 到 文件 的 空白 区 域 。 

@ 扩展 最 后 节 区 后 设置 。 

G) 添加 新 节 区 后 设置 。 

补丁 代码 较 少 时 ,使 用 方法 @@， 其 他 情况 使 用 方法 @ 或 @)。 首 先 尝试 方法 @， 使 用 PEView 
查看 示例 文件 的 第 一 个 节 区 (text) 头 ， 如 图 20-12 所 示 。 


000001C0 2E 74 65 78 Name 

DOD001C4 74 00 00 DO 

000001C8 00000280 ‘Virtual Size 

000001CC 

000001D0 Size of Raw Data 

000001D4 Pointer to Raw Data 

000001D8 00000000 ^ Pointer to Relocations 

000001DC 00000000 Pointer to Line Numbers 

000001E0 0000 Number of Relocations 

000001E2 0000 Number of Line Numbers 

000001E4 E0000020 Characteristics 
00000020 IMAGE_SCN_CNT_CODE 


40000000 IMAGE SCN MEM READ 


80000000 IMAGE SCN MEM WRITE 


20000000 IMAGE SCN MEM EXECUTE 





图 20-12 第 一 个 节 区 头 
第 一 个 节 区 的 文件 形态 与 加 载 到 内 存 中 的 形态 如 图 20-13 所 示 。 
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虚拟 地 址 


00401000 


文件 偏 移 


00000400 [ ` 


< 文件 > < 内 存 > 





90000630 00401280 


i 00401400 


00402000 


图 20-13 ”第 一 个 节 区 


第 一 个 节 区 ( text ) 的 Size of RAW Data 为 400，Virtual Size 为 280。 也 就 是 说 , 第 一 个 节 区 (在 
磁盘 文件 中 ) 的 尺寸 为 400， 但 是 仅 有 280 大 小 被 加 载 到 内 存 ， 其 余 区 域 (680-800 ) 处 于 未 使 用 


状态 ， 该 区 域 即 是 要 查找 的 空白 区 域 (NULL-Padding )。 


注意 


节 区 的 Virtual Size 为 280， 这 并 不 意味 着 实际 节 区 的 内 存 大 小 为 280， 而 要 以 
Section Alignment ( 以 上 示例 文件 为 1000 ) 的 倍数 扩展 ， 故 实际 大 小 为 1000。 


使 用 Hex Editor 打 开 并 查看 找到 的 空白 区 域 ， 如 图 20-14 所 示 。 


EaHxD - [c'WworkWunpackme#l.aC.exe] 
ig) File Edit Search View Analysis Extras Window 了 Ñ 
Pg (di e irs ALANS y hs wx 


Ë kmeflaCexe | 





ÜFFset(h) 08 04 02 03 OL 05 06 07 08 09 On GB BC OD OE GF 
080000658 ES 32 07 37 57 17 E8 32 33 37 57 17 E8 32 1B 37 622.7W.0237W.02.7 
00080668 57 17 ES 32 37 37 57 17 E8 32 83 37 57 17 E8 32 W.6277M.é .é2 
00000670 ØF 37 57 17 ES 32 17 37 57 17 E8 32 13 37 57 17 .7W.82.7' 
00000688 ETT 88 
080000698 
000980600 
00000680 
000006C0 
000086D0 
088086E 
000006rF 0 
090008780 
80800710 | 
00000720 | 
00008730 
98000740 
00000758 
08000760 
08008770 
90000788 
00000798 
00060708 
00800780 
000007C0 
0008007D0 
000007EG 
050087FO0 |H 1 — a 
00000880 88 21 00 00 16 21 00 00 00 OU O0 GO CO 20 00 0G 
00000810 A2 20 00 G0 DA 20 00 00 EA 20 00 00 94 20 00 06 
90800820 0 08 08 

ee a. " 








从 图 20-14 中 可 以 看 到 , 空白 区 域 (680~800 ) 全 部 填充 着 0( 这 种 区 域 称 为 Null-padding 区 域 )。 


楼 下 来 在 该 区 域 设置 补 丁 代 码 〈 洞 穴 代码 )。 
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二 
图 20-12 中 还 有 一 个 需要 注意 的 是 1E4 的 属性 值 中 添加 的 IMAGE SCN MEM WRITE 
(可 写 属性 )。 为 了 在 程序 中 进行 解密 处 理 ， 一 定 要 在 节 区 头 添 加 可 写 属 性 ， 获 得 相应 
内 存 的 可 写 权 限 ( 当 对 无 写 权限 的 内 存 进 行 “ 写 ” 操 作 时 ,会 引发 非法 访问 异常 )。 对 
于 一 个 普通 的 PE 文件 ， 其 代码 节 是 无 写 权 限 的 ， 但 是 包含 上 面 示例 在 内 的 压缩 工具 、 
Crypter 等 文件 的 代码 节 都 有 可 写 权 限 ， 请 各 位 以 后 分 析 文 件 时 注意 这 一 点 。 


20.5.2 ”制作 补丁 代码 
再 次 使 用 OllyDbg 调 试 示例 程序 ， 运 行 到 OEP 处 (40121E )， 如 图 20-15 所 示 。 


> óA 88 PUSH 8 
8005041220 . ES 55888808 |CALL €XJHP.&kerne132.GetHoduleHandlef» 
868501225| . A3 18385888 | MDU DWORD PTR DS:[583818],ERX 
8880801220 . óA 88 PUSH 8 
8850122C| . $68 F5185808 |PUSH unpackme.804018F5 
88501231, - 6A 608 PUSH 8 
885801233), . 68 25385888 |PUSH unpackme . 8090403824 
8853501238 . FF35 18384888| PUSH DWORD PTR DS:[^83018] 
8050123E| . E8 8D600808 |CALL XJHP.&user32.DialogBoxParamf» 
B8481243| . 58 PUSH ERX 
88401254| . ES 2B886808 |CALL XJMP.&kernel32.ExitProcess? 
88581249 CC INT3 


8848124n| $- FF25 1C284888|JMP DWORD PTR DS:[<&user32.BeginPaint 
00581258| $- FF25 182854888, JMP DWORD PTR DS:[X&user32.DialogBoxP 
80581256| $- FF25 25284888, JMP DWORD PTR DS:[X&user32.EndDialog? 
8858125C| $- FF25 8C2854888|JMP DWORD PTR DS:[X&user32.LoadIconf? 
88581262| $- FF25 2828080088 JHP DWORD PTR DS:[X&user32.MessageBox 
88501268| $- FF25 152854888| JHP DWORD PTR DS:[X&user32.SendHessag 
68649126E| $- FF25 182805888, JMP DWORD PTR DS:[X&user32.SetDlgItem 
80501275 O| JMP DWORD PTR DS:[X&kernel132.ExitProc 
08648127A DWORD PTR DS:[<&kernel32.GetModul 












ETTET Ir EU, o o ETET 








00481282 060 DB 88 
86501283 88 DB 88 
08501285 88 DB 88 
00481285 88 DB 88 
00401286 80 DB 00 
80581287 88 DB 66 
90581288 80 DB 88 
860581289 80 DB 88 


Kj20-15 OEP/IÉIƏ 


前 面 查找 到 的 空白 区 域 在 文件 中 的 偏 移 为 680~800， 将 其 变换 为 进程 VA 后 为 401280~401400 
(参考 图 20-13 )。 从 图 20-15 中 也 可 以 看 到 NullL-Padding 区 域 是 从 401280 开 始 的 。 接 下 来 , 在 401280 
位 置 处 创建 “补丁 代码 ”"。 使 用 OllyDbg 的 Assemble(Space) 命 令 与 Edit(Ctrl+E) 命 令 进行 如 下 编辑 。 

图 20-16 中 的 汇编 代码 相当 简单 。 地 址 40128F 与 4012A0 处 的 REP MOVSB 命 令 用 于 修改 下 面 
的 字符 串 ( 因 401123、40110A 字 符 串 处 于 解密 状态 ， 所 以 能 够 正常 显示 )。 


(401123) "You must patch this NAG !!!" —  (4012A8) "ReverseCore" 
(40110A) "You must unpack me !!!" —  (4012B4) "Unpacked" 


然后 由 图 20-16 中 4012A2 地 址 处 的 JMP 命 令 跳 转 到 OEP 处 。 至 此 ， 补 丁 代码 全 部 完成 。 每 当 
补丁 代码 运行 时 ， 进 程 内 存 中 解密 后 的 字符 串 ( 401123,40110A ) 就 会 被 打 补 丁 。 在 OllyDbg 中 保 
存 修改 的 内 容 (Copy to executable-All modifications 命 令 )。 
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88501285| . BE R8124000 | HOU ESI,unpackme.08504288 

88501280| . BF 231414000 | Hou EDI ,unpackme . 88501123 

8858128F| . F3:fhh I REP HOUS BYTE PTR ES:[EDIJ,BVTE PTR DS:[ESE] 
085601201| . BS 89880008 :HOU ECX,9 

88401296| . BE B41424000 | Hou ESI,tnpackme . 8940912854 

88501298| . BF 0A414000 HOU EDI ,unpackme . 804011066 

B84812A8| . F3:A4 REP HOUS BYTE PTR ES:[EDIJ,BVTE PTR DS:[ESI] 
8055801202| .~ E9 77FFFFFF JHP unpackme . 80489121E 

885801287 88 DB $8 

0885801208 . 52 65 76 65 728SCII "ReuerseCore",0 

88401285| . 55 6E 78 61 6 fASCII "Unpacked'",6 








08501288|52 65 76 65 72 73 65 43 óF 72 65 0 6E 78 61|Reuersetore.Binpa 
88401288|63 6B 65 65 86 00 80 68 08 08 GG $8 BD GO 0B BBÜIcked............ 
88401208| G8 00 HƏ 80 68 HG GG 88 OG A 89 GG 080 BB OG 80/................ 


图 20-16 编辑 补丁 代码 





20.5.8 ”执行 补丁 代码 


“内 山 补 丁 ” 技 术 的 最 后 一 步 是 直接 修改 文件 以 运行 前 面 创建 的 补丁 代码 ( 洞穴 代码 Jo 修改 
哪 部 分 好 呢 ? 观察 前 面 介 绍 的 代码 流 ， 可 以 发 现 地 址 401083 处 存在 JMPOEP ( 40121E ) 指令 ， 如 
图 20-17 所 示 。 










89501878. . E8 E5818008 
08461870] 58 
8848197E | E8 F1818888 


CALL €XJMP.&user32.MessageBoxA» 
PUSH EAX 

CALL «JHP.&kernel32.ExitProcess? 
MP unpackme . 804012 
OP EAX 

RETN 


图 20-17 JMP 40121E 指 令 


只 要 把 JMP OEP (40121E ) 命令 更 改 为 JMP 洞穴 代码 (401280 ) 就 可 以 了 ， 即 在 转 到 OEP 
之 前 先 把 控制 交 给 洞穴 代码 ， 使 字符 串 得 以 修改 。 

这 里 要 注意 的 是 ,该 区 域 (401083) 即 是 原来 的 加 密 区 域 。 由 图 20-11 可 知 ， 地 址 401083 属 
于 [A] 区 域 , 是 使 用 XOR 7 加 密 的 区 域 (参考 代码 流 )。 图 20-17 是 解密 后 的 形式 , 文件 中 实际 的 加 
密 形态 如 图 20-18 所 示 。 


Offset(h) 88 01 02 03 04 05 06 07 08 09 ÐA ƏB OC AD OE OF 
080080460 907 97 86 FD B7 8A EC 36 73 1E 6D 37 6F 35 17 47 .. jj Si6s.mzo5.G 








8050188 
0050410889 . 


00800478 67 6F BE 17 57 07 6D 07 EF E2 86 97 07 57 EF F6 .0..G.n.j3...VjO 
00800580 06 07 07 T2 TET TTY 58 c3 50 56 8B D8 8B CE .. Cc jxàPu- @ Í 
00000490 80 33 17 H3 3B DU 75 F8 58 5E C3 50 8B D8 B9 54  &.C;Uu R ÀP: @T 
80000400 01 08 00 80 33 hà 83 E9 01 43 83 F9 00 75 Fh 50 ...&Dfó.Cf(.uóP 


图 20-18 ”代码 的 加 密 形 态 


从 文件 偏 移 看 , 加 密 区 域 只 到 485, 后 面 的 00 00 并 不 是 加 密 区 域 (参考 图 20-11 )。 比 较 图 20-17 
与 20-18 可 以 看 到 ,“EE 91 06” 通 过 XOR 7 加 密 后 变 为 “E9 96 01”。 补 丁 代码 的 地 址 为 401280， 
如 图 20-19 修 改 JMP 命 令 语句 的 指令 。 


00401083 





图 20-19 JMP 401280454 


照搬 指令 (E9F801) 写 人 是 不 行 的 ， 还 要 考虑 解密 处 理 ， 应 该 执行 完 XOR 7 命令 后 再 写 人 。 


E9 XOR7 = EE 
F8. XOR 7. = FF 
01 XOR 7. = -06 
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使 用 Hex Editor 修 改 如 图 20-20 所 示 。 


OÜffset(h) 88 01 82 03 04 05 Bó 07 08 09 0n GB ƏC ƏD OE GF 


800005608 07 07 86 FD B7 BA EC 36 73 1E 6D 37 6F 35 17 47 . Y 5i6s.nzo5.G 
80680570 07 6F OE 17 47 07 6D 87 EF E2 806 07 07 57 EF F6 1o..8.n.]4.-.Wi 


000005080 06 07 07 58 C3 50 56 8B D8 8B CE ...[[ T ]APU- G1 
00888599 80 33 17 75 F8 58 5E C3 58 8B D8 B9 54 -Cg AP: BT 
B88864A8 81 88 08 88 33 44 83 E9 81 43 83 F9 88 75 Fh 58 ...&Dfó.Cf(j.uóP 


图 20-20 解密 代码 


像 这 样 ， 使 用 内 和 坐 补丁 技术 完成 了 对 整个 程序 的 修改 工作 (以 Unpackme#1.aC_patched.exe 
文件 名 保存 )。 


20.54 结果 确认 


运行 打 补 丁 后 的 文件 ( Unpackme#l.aC_ patched.exe )， 如 图 20-21 所 示 。 





图 20-21 运行 打 补 丁 后 的 文件 


比较 图 20-21 与 图 20-2、 图 20-3， 可 以 看 到 字符 串 已 经 修改 成 功 了 ， 即 通过 “内 艇 补丁 ”技术 
成 功 修改 了 加 密 文件 。 最 后 ， 使 用 调试 器 查看 一 下 被 修改 文件 的 401083 地 址 处 。 
原来 为 JMP 40121E (OEP )， 现 在 变 为 JMP 401280 ( 洞穴 代码 ) (参考 图 20-17、 图 20-22 )。 
88598187D| . PUSH ERX 


ALL «JMP.&kernel32. 
MP unpackme . 8050128 





E820-22 JMP 401280 ( “洞穴 代码 ”) 
如 图 20-23 所 示 ， 执 行 补丁 代码 ( 洞穴 代码 )， 字 符 串 被 修改 ， 最 后 跳 转 到 OEP 处 (40121E )。 


















89ukD1286| > | B9 0C0080800 
0010601285 . | BE 881254000 
0080128 . | BF 23115088 
98560128F| . | F3:Rh 

58491291] . | B9 89088888 
88501296| . | BE B41249000 
66481298B BF 8A114000 
86501200 F3:fh 
885801202 


HOU ECX ,BC 

HOU ESI,uUnpackme -68461268 
MOU EDI,unpacknme.00481123 
REP MOUS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI] 
MOU ECX,9 

MOU ESI ,unpackme .864812B4 

MOU EDI ,unpackme .8848118A 

REP MOUS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI] 
M JHP unpackme . 8848121 pra 



































图 20-23 JMP 40121E ( OEP ) 


E120-24 272 T REFA ERO HR TEE TH EERE. ARIT” BORA Pit 
个 非常 有 趣 的 主题 ， 同 时 也 是 能 够 综合 测评 代码 逆向 分 析 水 平 ( PE 文件 规范 、 调 试 、 反 汇编 等 ) 
的 好 机 会 。 内 岁 补 丁 技术 在 后 面 学 习 API 钧 取 技 术 时 还 会 用 到 。 


> | PUSH unpackme . 08401168A 
PUSH 65 

D| PUSH DWORD PTR SS-:[EBP*8] 
CALL XJMP.&user32.SetDlgItemTexth? 
PUSH 46 

PUSH unpackme . 80481141 

PUSH unpackme . 800481123 

PUSH DWORD PTR SS:[EBP+8] 

CALL <JMP .&user32 .MessageBoxhy> 




















|| ControlID = 65 (188.) 


irText = "Unpacked" 
ES = 00401600 





SetDlgItemTextA 
Style = MB_OK|MB_ICONASTERIS 
Title = "<<< fip8x / Patch & 
Text =“ReuerseCore” 
hüuner = 88501868 
jLHessageBoxR 

















图 20-24 ”被 修改 的 字符 串 
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21.4 $F 


X XHook—i], MEPE “f”. EA BUXEAR, DOR DBU)TTS As PU IU DH RR) — 5] T 
R. "钩子 ”这 一 基本 含义 延伸 发 展 为 “ 偷 看 或 截取 信息 时 所 用 的 手段 或 工具 "。 下 面 举例 向 各 位 
进一步 说 明 “ 钩 子 ” 这 一 概念 。 

“钩子 ”的 概念 
假设 有 一 个 非常 重要 的 军事 设施 , 其 外 围 设置 了 3 层 岗 哨 以 进行 保护 。 外 部 人 员 若 想 进入 , 需要 经 过 3 层 岗 哨 复杂 的 检查 程序 Gr 


份 确 认 、 随 身 物 品 查验 、 访 问 事由 说 明 等 )。 若 间谍 在 通 往 该 军事 设施 的 道路 上 私 设 一 个 岗 哺 ， 经 过 该 岗 哨 的 人 员 林 起 疑心 , 通 
过 时 履行 同样 的 检查 程序 ， 那 么 间谍 就 可 以 坐 享 其 成 ， 轻 松 获取 (其 至 可 以 操纵 ) 来 往 该 岗 哨 的 所 有 信息 。 


像 这 样 ， 为 了 偷 看 或 截取 来 往 信 息 而 在 中 间 设 置 岗 哨 的 行为 称 为 “挂钩 ”( 或 “安装 钩子 ”)， 
实际 上 ， 偷 看 或 操作 信息 的 行为 就 是 人 们 常 说 的 “ 钧 取 ”( Hooking )。 

“ 钩 取 ” 技 术 广 泛 应 用 于 计算 机 和 领域。 其实 , 我 们 不 仅 可 以 查看 来 往 于 “OS- 应 用 程序 -用 户 ” 
之 间 的 全 部 信息 ， 也 可 以 操作 它们 ,并 且 神 不 知 鬼 不 觉 。 具 体 方 法 有 很 多 ， 其 中 最 基本 的 是 “ 消 
HET” (Message Hook )， 下 面 会 详细 介绍 。 

提示 一 
“ 钩 取 ”是 代码 着 向 分 析 中 非常 重要 且 有 趣 的 主题 ， 后 面 会 逐一 介绍 各 种 “ 钩 取 ” 
方法 。 





21.2 HaT 


Windows 操 作 系统 向 用 户 提 供 GUI ( Graphic User Interface， 图 形 用 户 界面 )， 它 以 事件 驱动 
( Event Driven ) 方式 工作 。 在 操作 系统 中 借助 键盘 、 鼠 标 ， 选 择 菜 单 、 按 钮 ， 以 及 移动 鼠标 、 改 
变 窗 口 大 小 与 位 置 等 都 是 事件 ( Event )。 发 生 这 样 的 事件 时 ，OS 会 把 事先 定义 好 的 消息 发 送 给 相 
应 的 应 用 程序 ， 应 用 程序 分 析 收 到 的 信息 后 执行 相应 动作 ( 上述 过 程 在 《Windows 程 序 设 计 》 一 
书 中 有 详尽 说 明 )。 也 就 是 说 ， 敲 击 键盘 时 ， 消 息 会 从 OS 移动 到 应 用 程序 。 所 谓 的 “消息 钓 子 ” 
就 在 此 间 偷 看 这 些 信息 。 为 了 帮助 各 位 进一步 理解 它 ， 下 面 以 键盘 消息 为 例 说 明 。 请 看 图 21-1。 
先 讲解 常规 Windows 消 息 流 。 
口 发 生 键盘 输入 事件 时 ，WM KEYDOWN 消息 被 添加 到 [OS message queue]. 
口 OS 判断 哪个 应 用 程序 中 发 生 了 事件 ， 然 后 从 [OS message queue] 取 出 消息 ， 添 加 到 相应 应 
用 程序 的 [application message queue] 中 。 
口 应 用 程序 ( 如 记事 本 监视 自身 的 [application message queue], 发 现 新 添加 的 WM_KEYDOWN 
消息 后 ， 调 用 相应 的 事件 处 理 程序 处 理 。 
正如 在 图 21-1 中 看 到 的 一 样 ，OS 消 息 队 列 与 应 用 程序 消息 队列 之 间 存 在 一 条 “ 钓 链 ”( Hook 
Chain), 设置 好 键盘 消息 钩子 之 后 ， 处 于 “多 链 ” 中 的 键盘 消息 钧 子 会 比 应 用 程序 先 看 到 相应 信 
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息 。 在 键盘 消息 钩子 函数 的 内 部 ， 除 了 可 以 查看 消息 之 外 ,还 可 以 修改 消息 本 身 ， 而 且 还 能 对 消 
息 实施 拦截 ， 阻 止 消息 传递 。 


message queue 





application 
message queue 


图 21-1 消息 钓 取 工作 原理 


提示 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
可 以 同时 设置 多 个 相同 的 键盘 消息 钓 子 。 按 照 设置 顺序 依次 调用 这 些 钓 子 ， 它 们 
组 成 的 链条 称 为 “ 钓 链 ”。 


像 这 样 的 消息 钩子 功能 是 Windows 操 作 系统 提供 的 基本 功能 , 其 中 最 具 代表 性 的 是 MS Visual 
Studio 中 提供 的 SPY++， 它 是 一 个 功能 十 分 强大 的 消息 钩 取 程 序 ， 能 够 查看 操作 系统 中 来 往 的 所 
有 消息 。 


21.3 SetWindowsHookEx() 


f FHSetWindowsHookEx() API 可 轻松 实现 消息 钧 子 ，SetWindowsHookEx() API 的 定义 如 下 
所 示 。 
HHOOK SetWindowsHookEx( 


int idHook, // hook type 
HOOKPROC lpfn, // hook procedure 
HINSTANCE hMod, // hook procedure 所 属 的 DLL 句柄 (Handle) 
DWORD dwThreadId // 想 要 挂钩 的 线程 ID 
J Hi k. http://msdn.microsoft.com/en-us/library/windows/desktop/ms644990(v=vs.85).aspx 


FITTE (hook procedure ) 是 由 操作 系统 调用 的 回调 函数 。 安 装 消息 “钩子 “时 ,“ 钧 子 ” 
过 程 需 要 存在 于 某 个 DLL 内 部 ， 且 该 DLL 的 示例 句柄 (instance handle ) 即 是 hMod。 

提示 一 一 
# dwThreadID 参数 被 设置 为 0， 则 安装 的 钩子 为 “全 局 钩子 ”( Global Hook )， 它 
会 影响 到 运行 中 的 ( 以 及 以 后 要 运行 的 ) 所 有 进程 。 
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fax FE, fERjSetWindowsHookEx() 设置 好 钧 子 之 后 ， 在 某 个 进程 中 生成 指定 消息 时 ， 操 作 
系统 会 将 相关 的 DLL 文 件 强制 注入 ( injection ) 相应 进程 ， 然 后 调用 注册 的 “钩子 ”过 程 。 注 入 
进程 时 用 户 几 乎 不 需要 做 什么 ， 非 常 方便 。 


21.4 键盘 消息 钧 取 练 习 
本 节 将 做 一 个 简单 的 键盘 消息 钩 取 练 习 , 以 进一步 加 深 各 位 对 前 面 内 容 的 理解 。 请 看 图 21-2。 


explore .exe 
[TT 





KeyHook al 


KeyboardProc ( ) 





HookMain .exe 


KeyHookdl |. E iexplore .exe 


S 





Iis-SetWindowsHookEx ( ) — 





notepad .exe 





: esee chen 
; 键盘 事件 
KeyboardProc ( ) Y 


图 21-2 (ES BER 


KeyHook.dll 文 件 是 一 个 含有 钧 子 过 程 ( KeyboardProc ) 的 DLL 文件 。HookMain.exe 是 最 先 加 
载 KeyHook.dll 并 安装 键盘 钧 子 的 程序 。HookMain.exe 加 载 KeyHook.dll 文 件 后 使 用 
SetWindowsHookEx() 安装 键盘 钩子 ( KeyboardProc )。 若 其 他 进程 (explorerexe 、iexplore.exe、 
notepad.exe 等 ) 中 发 生 键盘 输入 事件 ，OS 就 会 强制 将 KeyHook.dll 加 载 到 相应 进程 的 内 存 ， 然 后 
调用 KeyboardProc() 函 数 。 

这 里 需要 注意 的 一 点 是 ，OS 会 将 KeyHook.dll 强 制 加 载 到 发 生 键 盘 输 入 事件 的 所 有 进程 。 换 
言 之 ， 消 息 钓 取 技 术 常 常 被 用 作 一 种 DLL 注 入 技术 ( 后 面 会 单独 讲解 DLL 注入 的 相关 内 容 )。 


21.4.1 练习 示例 HookMain.exe 


本 节 通 过 示例 来 练习 一 下 键盘 钧 取 技 术 ， 拦截 notepad.exe 进 程 的 键盘 消息 ,使 之 无 法 显示 在 
记事 本 中 。 

运行 HookMain.exe - 安装 键盘 钧 子 

首先 运行 HookMain.exe 程 序 ， 如 图 21-3 所 示 。 

运行 HookMain.exe 程 序 后 ， 输 出 “press “q”to quit!” 信 息 ， 提 示 在 HookMain.exe 程 序 中 输 
入 “q” 即 可 停止 键盘 钓 取 。 
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385): CN\Windows\System32\cmd.exe - HookMainexe 






OHookMain.exe 


o quit? 





|21-3 ”运行 HookMain.exe 


运行 Notepad.exe 程 序 

当前 系统 中 已 安装 好 键盘 钩子 。 运 行 Notepad.exe， 用 键盘 输入 。 

如 图 所 示 ，Notepad.exe 进 程 忽视 了 用 户 的 键盘 输入 。 使 用 Process Explorer 查 看 notepad.exe 进 
旦 ， 可 以 看 到 KeyHook.dll 已 经 加 载 其 中 ( 参考 图 21-4 ) 


= xem 7 === <s BERI yn 
QY Process Explorer - Sysinternals: www.sysinternals.com [eonhae-PCUeonhae] | 
seis. — T 





|| File Options View Process Find DLL Users Help - | 






tek pm Resltex 
čio Background P... Neslt 
Battery Manage. 
nergr Managem .. Lenovo 
Update Sched... Or 










Marsgenent exe 





| 
| 
| 
| 








kisin exe 
z 1s Process Srsinte 










Microso 
erosoft Visual Stud. Microso 
6376 Nierosoft Visual Stud Kiero 




















CPU Usage: 10,04% Comm 























图 21-4 ”Notepad.exe 进 程 忽 视 键盘 输入 

在 Process Explorer 中 检索 注 人 KeyHook.dll 的 所 有 进程 ， 如 图 21-5 所 示 。 一 个 进程 开始 运行 并 
发 生 键 盘 事 件 时 ,KeyHook.dll 就 会 注入 其 中 ( 但 其 实 忽视 键盘 事件 的 仅 有 notepad.exe 进 程 ， 其 他 
进程 会 正常 处 理 键盘 事件 ) 
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Handie or DEL substring: — keyhook.di Search | [ Cancel | 


Process 






[System Process] 2108 
conhost,exe DLL c-SworkwWKeyHook.dll 
DLL ci workWKeyHook,dll 


HookMain,exe 8. 
iInotepad.exe 1892 DLL c works KeyHook.dll 











| procexp,exe 2108 DLL c'WworkWKeyHook,dll 
* sss a ë T sinam p 
|| Smatching items. 
| 





图 21-5 注入 KeyHook.dll 的 所 有 进程 


HookMain.exe 终 止 — RRR TF 
如 图 21-6 所 示 ， 在 HookMain.exe 程 序 中 输入 “q” 命 令 ，HookMain.exe 将 拆除 键盘 钩子 ， 并 
终止 运行 。 





= P — j á 
dd 管理 员 : CAWindowsVSystem32wmdexe 





图 21-6 ”HookMain.exe 进 程 终止 


拆除 键盘 钧 子 后 ， 在 notepad.exe ( 记事 本 ) 中 使 用 键盘 输入 ， 可 以 发 现 记事 本 又 能 正常 接收 
了 。 在 Process Explorer 中 检索 KeyHook.dll 会 发 现 ， 无 任何 一 个 进程 加 载 KeyHook.dll， 如 图 21-7 
Br. 

















Handle or DLL substring: — keyhook.dll : 
pa ues L t MU DU YA d um 
Process PID Type Handle or DLL | 
f I 
| | 
| | 
| 
ur "ag E " — , 
0 matching items. 


图 21-7 ”拆除 键盘 钩子 
拆除 键盘 钩子 后 ， 相 关 进 程 就 会 将 KeyHook.dll 文 件 全 部 伸 载 ( Unloading ). 
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214.2 ”分析 源 代码 


下 面 分 析 一 下 示例 的 源 代码 。 
提示 

示例 是 使 用 MS Visual C++ 2010 Express Edition 编写 的 ， 已 在 Windows XP/7 ( 32 
位 ) 环境 中 通过 测试 。 为 便于 讲解 , 我 已 经 去 除了 示例 代码 中 的 返回 值 /错误 处 理 语句 。 


HookMain.cpp 
首先 看 一 下 HookMain.exe 文 件 的 源 代码 ( HookMain.cpp )。 


代码 21-1 HookMain.cpp 


// HookMain.cpp 


#include "stdio.h" 
#include "conio.h" 
#include "windows.h" 


#define DEF DLL NAME "KeyHook.dll" 
#define DEF HOOKSTART ”HookStart” 
#define DEF HOOKSTOP  "HookStop" 


typedef void(*PFN HOOKSTART)(); 
typedef void(*PFN HOOKSTOP)(); 


void main() 


I 


HMODULE hDLlLl = NULL; 
PFN_HOOKSTART HookStart = NULL; 
PFN HOOKSTOP HookStop = NULL; 
char ch = 0; 


// 3a3kKeyHook.dll 
hDll = LoadLibraryA(DEF DLL NAME); 


// 获取 导出 函数 地 址 
HookStart =(PFN_HOOKSTART)GetProcAddress(hDll, DEF HOOKSTART); 
HookStop =(PFN_HOOKSTOP)GetProcAddress(hDll, DEF HOOKSTOP); 


// 354593. 
HookStart(); 


// 等 待 直到 用 户 输 入 "q” 
printf("press 'q' to quit!\n”); 
while( _getch() != 'q') ; 


// 终止 钓 取 
HookStop(); 


/ /3pskKeyHook.dll 
FreeLibrary(hDll); 


源 代码 非常 简单 。 先 加 载 KeyHook.dll 文 件 , 然后 调用 HookStart() 函 数 开始 钓 取 , 用 户 输入 “q” 


时 ， 调 用 HookStop0 消 数 终止 钓 取 。 重 要 代码 处 添加 了 注释 ,认真 查看 就 能 轻松 理解 ， 不 会 遇 到 
什么 困难 。 
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KeyHook.cpp 
接 下 来 继续 看 KeyHook.dll 文 件 的 源 代码 ( KeyHook.cpp )。 





代码 21-2 KeyHook.cpp 
// KeyHook.cpp 








#include "stdio.h" 
#include "windows.h" 


#define DEF PROCESS NAME “notepad.exe” 
HINSTANCE g hInstance - NULL; 

HHOOK g hHook - NULL; 

HWND g hWnd = NULL; 


BOOL WINAPI DLLMain(HINSTANCE hinstDLL, DWORD dwReason, LPVOID 


lpvReserved) 
1 
switch( dwReason ) 
t 
case DLL PROCESS ATTACH: 
g hInstance - hinstDLL; 
break; 
case DLL PROCESS DETACH: 
break; 
} 
return TRUE; 
) 


LRESULT CALLBACK KeyboardProc(int nCode, WPARAM wParam, LPARAM lParam) 


1 
char szPath[MAX PATH] = (0,); 
char *p - NULL; 


if( nCode = 0 ) 


1 
// bit 31: 0 = key press, 1 = key release 
if( !(lParam & 0x80000000) ) // 释放 键盘 按键 时 
1 
GetModuleFileNameA(NULL, szPath, MAX PATH); 
p = strrchr(szPath, 'NN'); 
// veik B SER k, dX notepad.exe, JI if Ee 35 46S RISUS (或 下 一 个 "钩子 ”) 
if( ! stricmp(p + 1, DEF PROCESS NAME) ) 
return 1; 
j 
} 


// 3idknotepad.exe, Mj CallNextHookEx() 33k, Jn E [3b em EUR (或 下 一 个 "钩子 ") 。 
return CallNextHookEx(g hHook, nCode, wParam, lParam); 


) 


#ifdef _ cplusplus 
extern "C" ( 
#endif 
., declspec(dllexport) void HookStart() 
1 
g hHook = SetWindowsHookEx(WH KEYBOARD, KeyboardProc, g hInstance, 0); 
} 
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__declspec(dllexport) void HookStop() 


t 
if( g_hHook ) 


T 
UnhookWindowsHookEx(g hHook); 


g hHook = NULL; 
} 


} 

#ifdef ^ cplusplus 
} 

#endif 


DLL 代 码 也 非常 简单 。 调 用 导出 函数 HookStart() 时 ，SetWindowsHookEx() 函 数 就 会 将 
KeyboardProc0) 添 加 到 键盘 钩 链 。 


提示 
MSDN 中 对 KeyboardProc 函数 的 定义 如 下 : 


LRESULT CALLBACK KeyboardProc( 


int code, // HC_ACTION(0), HC NOREMOVE(3) 
WPARAM wParam, // virtual-key code 
LPARAM lParam // extra information 


上 面 3 个 参数 中 ，wParam 指 用 户 按 下 的 键盘 按键 的 虚拟 键 值 (virtual key code )。 
对 键盘 这 一 硬件 而 言 ， 英 文字 母 “A” 与 “a” 具 有 完全 相同 的 虚拟 键 值 。 参 数 IParam 
根据 不 同 的 位 具有 多 种 不 同 的 含义 ( repeat count, scan code, extended-key flag, context 
code, previous key - state flag, transition-state flag )。 使 用 ToAscii() API 函数 可 以 获得 


实际 按 下 的 键盘 的 ASCII 值 。 


安装 好 键盘 “钩子 ”后 , 无 论 哪 个 进程 ,只 要 发 生 键盘 输入 事件 ，OS 就 会 强制 将 KeyHook.dll 
注入 相应 进程 。 加 载 了 KeyHook.dll 的 进程 中 , 发生 键 盘 事 件 时 会 首先 调用 执行 


KeyHook.KeyboardProc()。 
KeyboardProc0) 函 数 中 发 生 键 盘 输 入 事件 时 ， 就 会 比较 当前 进程 的 名 称 与 “notepad.exe” 字 
FE, AAF, UMREL, 终止 KeyboardProc0) 函 数 ， 这 意味 着 截获 且 删 除 消息 。 这 样 ， 键盘 消息 


就 不 会 传递 到 notepad.exe 程 序 的 消息 队列 。 
因 notepad.exe 未 能 接收 到 任何 键盘 消息 ， 故 无 法 输出 。 


除 此 之 外 ( 即 当前 进程 名 称 非 “notepad.exe” 时 ), 执行 return CallNextHookEx(g_hHook,nCode, 
wParam,I]Param); 语 句 ， 消 息 会 被 传递 到 另 一 个 应 用 程序 或 钩 链 的 另 一 个 “钩子 ”函数 。 

E e a 
监视 或 记录 用 户 键盘 输入 的 程序 被 称 为 “键盘 记录 器 ”( Key Logger )。 有 些 键盘 
记录 器 本 身 是 PC 恶意 代码 ， 通 过 钩 取 键盘 消息 ， 在 PC 用 户 不 知情 的 情况 下 盗 走 用 户 
的 键盘 输入 ， 其 工作 原理 与 KeyHook.dll 的 工作 原理 基本 一 致 。 


21.5 ”调试 练习 
本 节 将 学 习 有 关 Windows 消 息 钧 取 调 试 的 技术 。 
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21.5.1 


所 示 。 








| CZES 


j| a394014cs r. 


| sssatass|| . 
|| se4sidoF|| . 
|| aassldss|| . 
i] a649145B|| . 


(| easeiarn|| . 


调试 HookMain.exe 
Ac Hoe 22 gt] T- H9 HookMain.exe. 请 使 用 OllyDbg 打 开 HookMain.exe 文 件 , 如 图 21-8 


8915 DØBE4000 
891D CCBE4000 
8935 C8BE4000 
893D C4BE4000 
66:8C15 FƏBE4000 
66: 8C0D E4BE4509| 











JMP 00401358 
MOU EDI, EDI 
PUSH EBP 





MOU DWORD PTR DS: [40BEDO], EDX 
MOU DWORD PTR DS: [408BECC1, EBX 
MOU DWORD PTR DS: [48BECS],ESI 
MOU DWORD PTR DS:[40BEC4], EDI 
MOU WORD PTR DS; [40BEF0], SS 
MOU WORD PTR DS: [46BEE4], CS 








|[|e54G14ce||. 8BEC MOV EBP, ESP 
B8a48i4C2||. 81EC 280230000 SUB ESP, 328 

|9848i4CE||. A3 D8BE4000 MOU DWORD PTR DS: [40BED8], EAX kernel32.BaseThreadInitThunk 
&8G481403]|. 8900 D4BE4000 MOY DWORD PTR DS:L48BED41, ECX 


HookMain.<Modu leEntryPoint> 


||oeseiarri|. 66:8C1D CBEE4969| MOU WORD PTR DS:L4BBECO1,D5 
 |əú4ə9isəe |. 66:8C05 BCBE4068| MOU WORD PTR DS:[40BEBC], ES 
|aasaisa0||. 66:8025 BSBE4000|HOU WORD PTR DS:[40BEB8], FS 
|8849i514|| . 66:8C2D B4BE4000| MOU WORD PTR DS:[48BEB41, GS 
 |əə491isi8 |. sc PUSHFD 
on4oisic||. 8F65 ESBE4969  |POP DWORD PTR DS:[49BEES] kernel82.771B1174 
||Ge4e:522||. 8845 69 MOU EAX, DWORD PTR SS: [EBP] 
suaisasl| . nš ncBE4eee MOU DWORD PTR DS:[40BEDC], EAX | kernel32.BaseThreadInitThunk 
ea4oiSen||. se45 04 MOU ERX,DUORD PTR SS:LEBP+41 ntdl L, 7729B3F5 
üe4eiszD||. A3 EDBE4969 MOU DWORD PTR DS: L40BEE0J,ERX | kernel32.BaseThreadInitThunk 
jee4sissa||. 8045 es LER EAX, DWORD PTR SS: [EBP+S] 














|[en4saisscj|. A3 ECBE4000 MOU DWORD PTR DS:[40BEEC], EAX kernel32.BaseThreadInitThunk 


图 21-8 ”HookMain.exe 的 EP 代码 


图 21-8 显 示 的 是 HookMain.exe 的 EP 代码 ， 它 是 典型 的 VC++ 启 动 函 数 ， 其 中 最 受 关注 的 是 开 
始 进 行 键盘 钓 取 的 部 分 。 

查找 核心 代码 

有 几 种 方法 可 以 帮助 我 们 找到 关注 的 核心 代码 : 

O 逐 行 跟踪 。 

口 检索 相关 API。 

口 检索 相关 字符 串 。 

第 一 种 方法 是 程序 无 法 正常 运行 或 难以 预测 时 使 用 的 下 策 , 此 处 略 去 不 谈 。 这 样 就 剩 下 后 面 
2 种 方法 ( 检索 API 或 字符 串 ) f 

由 于 已 经 运行 过 HookMain.exe 程 序 , 我 们 知道 了 该 程序 的 功能 ( 键盘 钓 取 ) 与 输出 的 字符 串 ， 
所 以 下 面 要 使 用 检索 字符 串 (图 21-3 的 “press “q”to quit!”) 的 方法 。 引 用 该 字符 串 代 码 的 前 后 
就 是 我 们 关注 的 代码 。 在 OllyDbg 的 代码 窗口 中 , 选择 鼠标 右键 菜单 中 的 Search for - All referenced 
text strings ( 参考 图 21-9 )。 








| Dan >| Name (label) in current module CulN | 
Find references to +j Name in all modules | 
ver ^ | Command cular | 
Copy to executable | Sequence of commands Ctrl+S | 
| rya H Constant 
i Help on symbolic name Ctrl«F1 | Binary string cue | 
I | 
Appssranon i j All intermodular calls I 
|  Al| commands | 
| All sequences | 
| All constants 


All switches | 
[^ 





图 21-9 ^ "Search for - All referenced text strings" 32%. 
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弹出 字符 串 窗口 ， 如 图 21-10 所 示 。 















B04681001 
808481019 


p-  — 







. 6858181E 





CALL 


pe 

| B8582ChB |ASCII 
80582C5E 
| 80502C6D 
| 00582FDA 





4 





图 21- 






B8n83D87 


8058852C  UNICODE "CONIN$' 
"hN,G",8 | 


PUSH 00486854C 
PUSH 80406853C 
PUSH 868488F24 


"KeyHoaok.d1ll'" 

"KeyHook .d11" 
"LoadLibrary($s) failed??? [$d]" 
"HookStart" 
"HookStop'* 





ASCII 
ASCII 
ASCII 
| ASCII 

ASCII 




















(Initial CPU selection) 


UNICODE "mscoree.d11" 
ASCII "CorExitProcess" 
UNICODE "Runtime ErrortfüntnProgram: ” 









10 Text strings referenced in HookMain 


从 图 21-10 中 可 以 看 到 ，40104D 地 址 处 的 指令 引用 了 要 查找 的 字符 串 。 双 击 字 符 串 ， 转 到 相 


应 地 址 处 (40104D 


Jo 


图 21-11 中 显示 的 代码 其 实 就 是 HookMain.exe 程 序 的 main0) 函 数 ( 借助 OllyDbg 的 字符 串 检索 
Jo 


功能 即 可 轻松 找到 


00401000 
00401661 
06401836 
08401066C 
556481BBE 
004010610 

















00401028 
00401020 
00401602E 
06401022F 
00401036 
0090401021 
00401037 
03401605C 
00401830 
80490103F 
8064081044 
00401045 
03401047 












0836195R 
0949106C 
66490106D 
08401873 
00401074 
06401075 
99401077 
00401078 






FF1S 0480481 









c3 
53 
57 






68 38904000 
56 

8808 
FFD7 
8BF8 







E8 21000000 
8304 84 

















调试 main() 函 数 


在 401000 地 址 处 设置 断 点 ， 然 后 


























Gi LEA EBX, DWORD PTR DS:[EBXJ 


FileName = "KeyHook.dLl"* 









MOU ESI,ERX 
TEST ESI,ESI 

JNZ SHORT 60040102F 
CALL DWORD PTR DS: EKAKERNELSC) [serLasvErrer 

PUSH ERX 

ASCII "KevHook.dl l” 

ASCII "LoadLibrary(Zs) failedffft [Zd 


ADD ESP, 6C 
XOR EAX, EAX 
POP ESI 
RETN 

PUSH EBX 
PUSH EDI 
kernelS2.GetProcRddress 
ProchameOürÜürdinal = "HookStart" 
hModule = NULL 

GetProcRddress 


PUSH 00489D2C 
PUSH ESI 
CRLL EDI 


[ 


PUSH 00409038 ProcMameÜrOrdinal = "HookStop” 
PUSH ESI hhMcdu le = NULL 

MOU EBX, EAX ^ 

CALL EDI GetProcRddress 





=> HookStart() 









CALL 00401088 
RDD ESP, 4 


CALL 004012F1 
[er ERX,71 
JNZ SHORT 00401060 
CALL EDI 
PUSH ESI 
CALL DWORD PTR DS: [<&KERNEL: 
POP EDI 
POP EBX 
XOR EAX, EAX 
POP ESI 
RETN 


=> HookStop() 
hLibModule = NULL 
FreeLibrary 





图 21-11 main) K% 


=a A 


运行 


程序 ， 到 断 点 处 停 下 来 ,开始 调试 。 从 断 点 开始 依次 跟 


踪 调 试 代码, 可 以 了 解 main() 中 的 主要 代码 流 。 先 在 401006 地 址 处 调用 LoadLibrary(KeyHook.d1l)， 
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然后 由 40104B 地 址 处 的 CALL EBX y 38] fH KeyHook.HookStart() PR 2, ER 25:40 104B Hb EZE BJ 
CALL EBX 命 令 ( StepInto(F7) )， 出 现 图 21-12 所 示 的 代码 。 









|| 100010E7 
|] 188e18Ee 
| 188918ED 
1888018EF 
| 189e18r5 

180016FR 
|| :essleFe 
| 192eierc 
|] 186010FD 
|| 100910FE 


PUSH ERX 


PUSH 





















hModu L 
Hookpr 


5a 
. 68 20100010 











. 6A a2 Hook Tu 
FF1S E060001( CALL DWORD PTR DS:r1888068EG1 Setulin 
Rs 9CR70010 | HOU DWORD PTR DS:r1868R79CJ,ERX 














图 21-12 KeyHook.HookStart() Kt 


图 21-12 中 的 代码 是 被 加 载 到 HookMain.exe 进 程 中 的 KeyHook.dll 的 HookStart0 函 数 ( 请 确认 
一 下 图 中 的 地 址 区 域 )。 在 100010EF 地 址 处 可 以 看 到 CALL SetWindowsHookExW() 指 令 ， 其 上 方 
10010E8 与 100010ED 地 址 处 的 2 条 PUSH 指 令 用 于 把 SetWindowsHookExW() API 的 第 1、2 两 个 参数 


压 人 栈 。 


SetWindowsHookExW() API 的 第 一 个 参数 ( idHook ) 值 为 WH KEYBOARD(2)， 第 二 个 参数 
(lpfp ) 值 为 10001020， 该 值 即 是 钧 子 过 程 的 地 址 。 后 面 调试 KeyHook.dll 时 再 仔细 看 该 地 址 。 
HookMain.exeff']main() PRX ( 401000 ) 的 其 余 代 码 接收 到 用 户 输入 的 “q” 命 令 后 终止 钩 取 。 以 上 
内 容 非 常 简单 ， 希 望 各 位 亲自 调试 。 


21.5.2 ”调试 Notepad.exe 进程 内 的 KeyHook.dll 


本 小 节 将 调试 KeyHook.dll 中 的 钩子 过 程 ， 此 时 KeyHook.dll 已 被 注 和 人 notepad.exe 进 程 。 首 先 
使 用 OllyDbg 打 开 Notepad.exe 程 序 (也 可 以 使 用 Attach 命 令 打 开 运 行 中 的 notepad.exe 进 程 )。 通 过 
OllyDbg 中 的 “运行 ”(F9) 命 令 使 notepad.exe 进 程 正常 运行 (参考 图 21-13 )。 
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33DB XOR EBX, EBX 

8950 E4 MOU DWORD PTR SŠS:[EBP-1C1l,EBX 
8950 FC MOU DWORD PTR SS:LEBP-41, EBX 
8045 98 LEA EAX, DWORO PTR SS:LEBP-681 










PUSH EAX 


. FF1S FC181SI CALL DWORD PTR DS:[<&KERNEL32.GetStartupIinfoR>l 
. C745 FC FEFI MOU DWORD PTR SS:[EBP-41,-2Z 

. 0745 FC 818i MOU DWORD PTR S5:[EBP-4], | 

+ 64:A1 180001H0U EAX, DWORD PTR FS:[18] 

. 8B7?8 84 


MOU ESI, DWORD PTR DS:[EAX+4] 





图 21-13 ”正常 运行 notepad.exe 进 程 


如 图 21-14 所 示 ， 在 OllyDbg 的 Debugging options 中 ， 点 选 Break on new module(DLL) 复 选 框 。 
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| i Dias CPU 
Security | Debug 


ce Stack | Analysis 1 ] AR is2 | doen 31] 
Exceptions | Trace | SFX | Strings | Addresses || 





Make first pause at: 
C System breakpoint 
(* Entry point of main module 
C WinMain [if location is known] 





Ie ilaque, 
[^ Break on thread end 
[^ Break on debug string 








Break on new module(DLL) 


图 21-14 ”更改 OllyDbg 选 项 : 


开启 该 选项 后 ,每 当 新 的 DLL 装 入 被 调试 (Debuggee ) 进程 时 就 会 自动 暂停 调试 (这 在 “从 
DLL 注 入 时 开始 调试 ”的 情况 下 非常 有 用 )。 

此 时 运行 HookMain.exe ( 参考 图 21-3 )。 然 后 在 notepad.exe 中 使 用 键盘 输入 ， 
停 调 试 ， 并 弹出 Executable modules 窗 口 。 

如 图 21-15 所 示 ，KeyHook.dll 被 加 载 到 10000000 地 址 处 。 


此 时 OllyDbg 暂 
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C:\Windows\system32\KERNELBASE.d 
C:\Windows\system32\GDI32.dl1 
C:\Windows\system32\USP18.dll 
fF NlilindousNsustem32s0l1e22. 011 





图 21-15 Executable modules 窗 口 


提示 

根据 系统 环境 不 同 ， 有 时 不 会 先 显 示 KeyHook.dll， 而 是 先 加 载 其 他 DLL 库 。 此 
时 按 (F9) 运 行 键 ， 直 到 KeyHook.dll 加 载 完 成 。 有 些 系统 无 法 正常 运行 该 功能 ， 此 时 使 
用 OllyDbg 2.0 即 可 保证 运行 顺畅 。 


如 图 21-15 所 示 ， 双 击 KeyHook.dll 转 到 KeyHook.dll 的 EP 地 址 处 。 由 于 我 们 已 经 知道 钩子 过 程 
的 地 址 为 10001020， 下 面 直接 转 到 该 地 址 处 ( 请 先 在 OllyDbg 中 取消 对 Break on new module(DLL) 
项 的 选择 ， 使 其 处 于 “未 选中 ”状态 )。 

如 图 21-16 所 示 ， 向 “ 钧 子 ” 过 程 (10001020) 设置 断 点 ， 每 当 notepad.exe 中 发 生 键盘 输入 事 
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件 时 ， 调 试 就 停 在 该 处 



































eao61021 ||. SEEC MOU EBP,ESP 
eaveinas ||. siec aseieoea [SUB ESP, 105 
[10901029 ||. ñ: eesaebin MOU ERX.DWORD PTR DS: [51599996691 
[1eseiesE ||. sacs XOR EAX, EBP 
10001030 . 8945 FC MOU DWORD PTR SS:LEBP-41.ERX 
igobiass ||. sé PUSH ESI 
jieseesa ||. =ç PUSH EDI 
ieeeles5 ||. 6s eseieces PUSH 163 
iceoiusa ||. S095 F3FEFFFF |LER EAX, DWORD PTR SS:tEBP-1873 
| 10001040 SR a PUSH B 
] 16901042 PUSH ERX 
|| 10901043 MOU BYTE PTR SS:TEBP-188].9 
16001804A CALL 18003770 
|| 10001094F MOU ESI,DUORD PTR SS:[EBP+81 
| 12001952 MOU EDI, oem PTR SS:LEBP+101 
10091055 ADD E: 
-of sseerela| epaepaep | 
| L aaesFsls| e0000841| 
i eacacote os ac 1E a8|26 s3 E1 FF| wa, &s? Gecereic| 991E9861| 





图 21-16 — "£J-F" PEL: KeyboardProc() 


在 栈 中 可 以 看 到 KeyboardProcO 函 数 的 参数 。 最 后 ， 将 以 上 操作 过 程 按 顺 序 整 理 如 下 : 

口 用 OllyDbg 运行 notepad.exe (或 者 Attach i 运行 中 的 notepad.exe ); 

口 开启 Break on new module(DLL) 选 项 ; 

O 运行 KeyLogger.exe 一 安装 global keyboard message hook; 

O 在 notepad 中 使 用 键盘 输入 一 发 生 键盘 消息 事件 (按键 a 输入 ); 

Q KeyLogger.dll 被 注入 notepad.exe 进程 ; 

O 在 OllyDbg 中 向 KeyboardProc (钩子 进程 ) 设置 断 点 。 

XT KeyboardProc()PAZX ( 10001020 ) 可 以 参考 前 面 源 代码 说 明 中 的 相关 内 容 ， 请 各 位 自己 
调试 。 


216 小结 


本 章 讲 解 了 Windows 消 息 钧 取 技 术 与 DLL 多 子 过 程 调 试 方法 。 这 些 知 识 在 代码 逆向 分 析 中 起 
着 非常 重要 的 作用 ， 希望 各 位 认真 学 习 并 掌握 。 特 别 是 要 反复 练习 “从 DLL 的 EP 代码 开始 调试 ” 
的 方法 ， 直 到 完全 掌握 。 


. 回调 函数 ‘(CALLBACK) 是 什么 ? 
简 言 之 ,就 是 茶 个 特定 事件 发 生 时 被 指定 调用 的 函数 。 窗口 Windows 过 程 ( WndProc ) 就 
是 一 个 典型 的 回调 函数 ( 键盘 、 鼠 标 等 事件 发 生 时 OS 会 调用 注册 的 窗口 过 程 )。 


. 我 是 超级 菜鸟 ， 几 乎 什么 都 不 懂 ， 应 该 从 哪儿 开始 学 啊 ? 从 C 语 言 开始 吗 ? 

. 其 实 ， 只 有 具备 一 定 的 Win32 编 程 知识 ， 才 能 较 好 地 理解 示例 中 的 代码 ( 当然 也 要 有 一 
定 的 C 语 言 知 识 )。 初 次 接触 代码 逆向 分 析 时 会 遇 到 大 量 术语 ， 这 些 术语 往往 让 人 一 头 雾 
水 、 不 知 所 措 。 “这些 都 是 学 习 代 码 逆 向 分 析 技 术 的 绊脚石 "， 我 ( 直到 几 年 ) 之 前 一 直 
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这 样 想 。 但 是 看 到 那些 没有 以 上 知识 却 依然 能 够 将 代码 逆向 分 析 做 得 很 棒 的 人 ， 我 的 想 
法 慢 慢 改变 了 。 

我 认识 的 代码 逆向 分 析 人 员 中 , 有 几 个 人 学 习 逆 向 分 析 技 术 时 根本 就 不 怎么 懂 C 语 言 , 他 
们 学 习 时 每 当 遇 到 C 语 言 代码 就 直接 敲 一 下 , 不 断 查找 询问 , 后 面 就 慢 慢 弄 懂 了 。 学 习 过 
程 中 遇 到 不 懂 的 术语 就 记 下 来 (初次 看 到 会 觉得 难 ， 但 见 过 10 次 以 后 就 不 会 这 样 想 了 )。 
遇难 而 退 不 可 取 ， 反 而 应 该 谦虚 谨慎 、 不 骄 不 躁 地 去 吸收 更 多 新 知识 。 他 们 现在 都 成 为 
代码 逆向 分 析 技 术 的 专家 了 呢 。 


. declspec 函 数 是 什么 ? 

. declspec 是 针对 编译 器 的 关键 字 ， 指 出 相应 函数 为 导出 函数 。 

. SetWindowsHookEx() API 为 什么 在 KeyHook.dll 内 部 调用 ? 您 说 它 是 安装 钧 子 的 API? 
.是 的 。SetWindowsHookEx() API 用 于 将 指定 的 “ 钓 子 ”过 程 注册 到 钓 链 中 。 无 论 在 DLL 


内 部 还 是 外 部 均 可 调用 ( 编程 时 怎么 方便 怎么 来 )。 





第 22 章 ”恶意 键盘 记录 器 


不 能 说 ( 经 用 户 同 意 ) 应 用 在 管理 中 的 键盘 记录 器 (Key Logger) 一 定 是 坏 的 ， 问 题 是 那 
些 在 用 户 不 知情 的 情况 下 、 出 于 恶意 运行 的 键盘 记录 器 。 本 章 将 分 析出 现 这 种 恶意 键盘 记录 器 
的 原因 。 


22.1 恶意 键盘 记录 器 的 目标 


就 是 “金钱 "。 键 盘 记 录 器 的 基本 功能 是 记录 并 保存 用 户 在 键盘 上 输入 的 信息 ， 然 后 将 这 些 
言 息 转移 到 指定 地 点 。 信 息 化 社会 中 ,“ 信 息 就 是 金钱 "。 那 么 ,如何 利用 键盘 记录 器 赚钱 呢 ? 下 
面 先 看 几 个 示例 。 


22.1.1 在 线 游戏 


现在 ， 网 吧 随 处 可 见 ， 黑 客 随便 去 一 个 网 吧 ， 偷 偷 在 一 台电 脑 上 安装 好 键盘 记录 器 后 离开 。 
之 后 会 有 人 用 这 人 台 安 装 了 键盘 记录 器 的 电脑 玩 在 线 游 戏 , 用 户 使 用 这 台电 脑 时 , 键盘 记录 器 会 丛 
偷 记录 下 游戏 账号 (ID 、Password )， 并 通过 邮件 发 送 给 黑客 。 黑 客 通过 这 些 游 戏 账 号 登录 在 线 
游戏 , 可 以 把 原 玩 家 的 游戏 币 与 装备 换 成 现金 。 玩 过 在 线 游戏 的 朋友 应 该 对 这 种 用 游戏 币 和 装备 
换钱 的 交易 非常 清楚 ( 游戏 装备 的 年 交易 额 是 普通 人 无 法 想象 的 )。 


22.1.2 ”网 上 银行 


那 不 玩 在 线 游 戏 的 人 是 不 是 就 不 会 受到 键盘 记录 器 的 侵害 了 呢 ? 与 每 个 人 都 息息相关 的 就 
是 网 上 银行 。 如 果 网 上 银行 的 账户 信息 (ID Password, KS ) 被 盗 该 怎么 办 呢 ? 如 果 存 款 余 额 
神 不 知 鬼 不 觉 地 清 零 了 呢 ? 

其 实 上 述 事例 在 国内 外 屡见不鲜 ， 特 别 是 在 南美 的 一 些 国家 和 地 区 ( 墨西哥、 巴西 等 )， 网 
银 被 盗 走 数 万 万 至 数 十 万 美元 的 用 户 相当 多 。 虽 然 大 部 分 网 上 银行 都 要 求 用 户 使 用 下 浏览 器 
( Internet Explorer ) 连接 ， 并且 在 银行 网 站 安装 了 ActiveX 安 全 模块 ， 进 行 着 双重 、 三 重 保护 ， 但 
是 仍然 没有 人 敢 断 言 网 上 银行 100% 安 全 。 


22.1.3 ”商业 机 密 泄露 


我 们 有 时 会 看 到 这 样 的 报道 , 某 大 公司 因 核 心机 密 被 泄露 到 国外 而 遭受 重大 损失 。 虽然 这 类 
商业 信息 遭 泄露 的 例子 并 不 多 见 ， 可 一 旦 发 生 ， 其 损害 是 十 分 巨大 的 (耗费 几 年 时 间 ，, 投入 大 量 
财力 、 精 力 研发 的 核心 技术 一 旦 遭 到 泄露 ， 很 有 可 能 将 企业 推 到 生死 存亡 的 关头 )。 对 于 一 个 国 
家 亦 是 如 此 ， 若 半导体 、 汽 车 、 造 船 等 关键 技术 被 泄露 到 国外 ， 整 个 国家 可 能 就 会 陷入 危机 。 从 
普通 公司 的 泄密 事件 看 ， 大 部 分 公司 内 部 都 会 一 个 “内 线 ”， 有 了 “内 线 ” 就 太 方便 设置 键盘 记 
SKAR T o 

现在 各 位 应 该 能 感觉 到 键盘 记录 器 的 可 怕 了 吧 ? 为 什么 大 部 分 杀毒 软件 都 会 把 键盘 记录 器 
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识别 为 “恶意 ”文件 ? 为 什么 登录 网 上 银行 (或 者 在 线 游戏 ) 的 相应 网 站 时 要 安装 ActiveX 安 全 
模块 ? 一 切 都 有 了 管 案 。 


222 键盘 记录 器 的 种 类 与 发 展 趋势 


各 位 听 说 过 硬件 版 的 键盘 记录 器 吗 ? 它 就 像 一 个 USB 存 储 器 , 连接 在 键盘 线 费 的 末端 从 而 设 
置 到 PC 中 。 

其 内 部 有 一 个 闪存 (flash memory ), 能 够 直接 接收 并 存储 来 自 键盘 的 电子 信号 。 最 新 产品 还 
支持 Wi-Fi 无 线 连 接 ， 能 够 更 方便 地 传送 键盘 输入 信息 。 虽 然 安装 起 来 有 些 不 方便 ,但 是 一 旦 成 
功 ， 安 装 用 户 根本 无 法 觉察 到 自己 从 键盘 输入 的 信息 遭 到 了 盗窃 。 谁 会 仔细 看 桌 下 的 PC ( 而且 
是 PC 机 箱 的 背面 ) 呢 ? 而 且 普通 人 就 是 看 了 也 认 不 出 来 。 事 实 上 ， 仅 用 软件 根本 无 法 阻止 这 种 
硬件 版 的 键盘 记录 器 。 各 种 杀毒 软件 以 及 键盘 安全 软件 在 阻止 软件 版 键盘 记录 顺 方 面 做 出 了 大 量 
努力 ， 但 是 恶意 键盘 记录 器 编写 者 的 目标 (= 金钱 ) 非常 明确 ， 所 以 不 可 能 完全 阻止 所 有 键盘 记 
录 器 。 键 盘 记 录 器 制作 者 们 无 限 编写 、 散 布 恶 意 键盘 记录 器 。 对 他 们 而 言 ， 这 是 一 份 关 平生 计 的 
“事业 ”， 这 些 人 会 亲自 测试 自己 编写 的 键盘 记录 器 ， 以 确保 能 够 成 功 绕 开 各 种 安全 软件 。 

这 类 键盘 记录 器 未 来 会 向 着 更 精巧 、 更 隐蔽 的 方向 发 展 , 另 一 方面 我 们 却 不 得 不 一 直 使 用 键 
盘 这 类 输入 设备 。 

那么 , 如 果 不 用 键盘 , 是 不 是 就 可 以 不 受 键盘 记录 器 的 威胁 呢 ? 那些 制作 者 们 可 能 又 会 开发 
出 全 新 形态 的 键盘 记录 器 。 若 未 来 键盘 被 淘汰 , 大 量 使 用 “手写 识别 ”或 “声音 识别 ”输入 设备 ， 
相信 那个 时 候 一 定 会 出 现 相应 的 “手写 记录 器 ““ 声 音 记录 器 ” 吧 。 


223 ”防范 恶意 键盘 记录 器 


虽然 不 能 100% 阻 止 恶 意 键 盘 记录 器 ， 但 我 们 可 以 努力 将 其 破坏 性 降 到 最 低 。 以 下 这 些 简 单 
的 行为 准则 是 我 给 各 位 的 建议 。 

Keylogger 防 范 守 则 : 

口 绝 不 在 公共 场合 ( 网吧、 学校 自 习 室 等 ) 的 PC 中 输入 个 人 信息 ; 

口 经 常 更 新 安全 软件 ; 

口 输入 个 人 信息 时 灵活 使 用 复制 ( 剪 切 ) & 烙 贴 (* ); 

口 使 用 个 人 防火 墙 ( 即使 键盘 输入 遭 到 非法 记录 ， 只 要 不 泄露 信息 就 没有 危险 )。 

若 ID 为 reversecore， 输 入 时 先 输入 corereverse， 再 用 鼠标 选中 core 字 符 串 ， 通 过 剪 切 & 粘 贴 功 
能 最 后 形成 reversecore。 各 位 可 以 把 这 种 方法 应 用 到 每 个 需要 输入 个 人 信息 的 地 方 ， 虽 然 有 些 麻 
烦 , 但 能 够 增强 一 些 安全 性 。 当 然 ， 有些 强大 的 键盘 记录 器 甚至 可 以 钧 取 剪 贴 板 中 的 信息 ， 所 以 
上 面 这 个 方法 并 不 总 是 有 效 的 ， 但 用 来 防范 一 般 的 键盘 记录 器 时 ， 效 果 还 是 十 分 明显 的 。 


22.4 个 人 信息 


最 后 简单 谈 谈 有 关 个 人 信息 的 问题 。 信 息 化 社会 中 ， 个 人 信息 即 代表 某 个 “人 ”。 所 以 每 个 
人 都 要 重视 起 来 , 要 有 保护 意识 。 特 别 是 密码 , 一定 要 设置 为 只 有 自己 知道 的 、 较 为 复杂 的 形式 
(结合 “数字 + 字符 + 特殊 字符 ”"， 且 最 少 8 位 ), 绝对 不 要 告诉 别人 。 输入 密码 时 也 要 时 刻 注意 周围 
情况 ， 不 要 泄露 。 
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提示 

我 看 社会 工程 学 技巧 相关 图 书 时 , 遇 到 过 一 些 介 绍 专业 黑客 盗 取 键盘 输入 的 例子 。 
黑客 在 离 目 标 对 象 一 米 远 的 地 方 假装 看 报纸 ， 轻 松 资 取 了 受害 人 键盘 输入 的 信息 (和 登 
录 信 息 )。 黑 客 不 必 费 劲 去 猜测 系统 管理 员 的 密码 ，( 可 能 的 话 ) 只 要 走 近 就 能 轻松 窃 
取 。 如 若 得 手 ， 黑 客 就 能 很 容易 地 获取 系统 管理 员 权 限 。 


一 定 要 保管 好 重要 的 个 人 信息 。 


32328 DLLIE A 


DLL 注入 (DLL Injection ) 是 渗透 其 他 进程 的 最 简单 有 效 的 方法 ， 本 章 将 详细 讲解 DLL 注入 
的 有 关内 容 。 借 助 DLL 注 和 人 技术， 可 以 钩 取 API、 改 进程 序 、 修 复 Bug 等 。 


23.4 DLL 注入 


DLL 注 入 指 的 是 向 运行 中 的 其 他 进程 强制 插入 特定 的 DLL 文 件 。 从 技术 细节 来 说 ，DLL 注 
人 命令 其 他 进程 自行 调用 LoadLibrary() API， 加 载 (Loading ) 用 户 指 定 的 DLL 文 件 。DLL 注 入 
与 一 般 DLL 加 载 的 区 别 在 于 ， 加 载 的 目标 进程 是 其 自身 或 其 他 进程 。 图 23-1 描 述 了 DLL 注 入 的 


今 
A o 


notepad .exe 进程 





用 户 DLL 文 件 DLL 注入 a 
myhack.dll I E XE ue myhack .dj 
强制 插入 其 他 进程 的 


内 存 空间 
E kernel32 .dil 
DLLMain() 
gdi32 .dll 
sheil32 dil i 
advapi32 .dll 
i ntdll32 .dll 


图 23-1 DLL 注入 


从 图 23-1 中 可 以 看 到 ，myhack.dll 已 被 强制 插入 notepad 进 程 ( 本 来 notepad 并 不 会 加 载 
myhack.dll )。 加 载 到 notepad.exe 进 程 中 的 myhack.dll 与 已 经 加 载 到 notepad.exe 进 程 中 的 DLL 
( kernel32.dll, user32.dll) 一 样 ， 拥 有 访问 notepad.exe 进 程 内 存 的 (正当 的 ) 权限 ,这 样 用 
户 就 可 以 做 任何 想 做 的 事 了 (比如 : 向 notepad 添 加 通信 功能 以 实现 Messenger、 文 本 网 络 
浏览 器 等 )。 

DLL (Dynamic Linked Library， 动 态 链 接 库 ) 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 

DLL 被 加 载 到 进程 后 会 自动 运行 DIMain0 函 数 ， 用 户 可 以 把 想 执行 的 代码 放 到 

DllIMain(0) 函 数 ， 每 当 加 载 DLL 时 ， 添 加 的 代码 就 会 自然 而 然 得 到 执行 。 利 用 该 特性 可 

修复 程序 Bug， 或 向 程序 添加 新 功能 。 
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BOOL WINAPI DllMain(HINSTANCE hinstDLL, preme dwReason, LPVOID YES IG ned) 
1 


switch( dwReason ) 


t 
case DLL PROCESS ATTACH: 
// 添加 想 执行 的 代码 
break; 


case DLL THREAD ATTACH: 
break; 


case DLL THREAD DETACH: 
break; 


case DLL PROCESS DETACH: 
break; 


} 


return TRUE; 
} 


23.2 DLL 注入 示例 


使 用 LoadLibrary() API 加 载 某 个 DLL 时 ,该 DLL 中 的 DIIMain() 函 数 就 会 被 调用 执行 。DLL 注 
和 人 的 工作 原理 就 是 从 外 部 促使 目标 进程 调用 LoadLibrary() API ( 与 一 般 DLL 加 载 相同 ), 所 以 会 强 
制 调用 执行 DLL 的 DIIMain0 函 数 。 并 且 , 被 注入 的 DLL 拥 有 目标 进程 内 存 的 访问 权限 ， 用 户 可 以 
随意 操作 ( 修复 Bug、 添 加 功能 等 )。 下 面 看 一 些 使 用 DLL 注 和 人 技术 的 示例 。 


23.2.1 改善 功能 与 修复 Bug 


DLL 注入 技术 可 用 于 改善 功能 与 修复 Bug。 没 有 程序 对 应 的 源码 ， 或 直接 修改 程序 比较 困难 
时 ， 就 可 以 使 用 DLL 注入 技术 为 程序 添加 新 功能 (类 似 于 插件 ), 或 者 修改 有 问题 的 代码 、 数 据 。 


23.2.2 ”消息 钧 取 


Windows OS 默认 提供 的 消息 钓 取 功能 应 用 的 就 是 一 种 DLL 注 和 技术。 与 常规 的 DLL 注 入 唯 
一 的 区 别 是 ，OS 会 直接 将 已 注册 的 钧 取 DLL 注 入 目标 进程 。 

JJ EE n =t.:'p 
我 曾经 从 网 上 下 载 过 一 个 Hex Editor， 它 不 支持 鼠标 滚轮 滑动 ,所 以 我 用 消息 钩 取 
技术 为 其 添加 了 鼠标 滚轮 支持 。 虽 然 可 以 下 载 更 多 、 更 好 用 的 HexEditor， 但 是 利用 学 
到 的 技术 改善 、 扩 展 程序 功能 是 一 种 非常 妙 的 体验 。 这 样 不 仅 能 解决 问题 ， 还 锻炼 了 
我 们 灵活 应 用 技术 的 能 力 ( 此 后 我 就 开始 对 使 用 逆向 技术 改善 已 有 程序 的 功能 产生 了 
浓厚 兴趣 )。 
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DLL 形态 的 钩 取 函 数 ， 再 将 其 轻松 注入 要 钩 取 的 目标 进程 ， 这 样 就 完成 了 API 钩 取 。 这 灵活 运用 
了 “被 注入 的 DLL 拥 有 目标 进程 内 存 访问 权限 ”这 一 特性 。 


23.24 其 他 应 用 程序 


DLL 注入 技术 也 应 用 于 监视 、 管 理 PC 用户 的 应 用 程序 。 比 如 ， 用 来 阻止 特定 程序 ( 像 游 戏 、 
股票 交易 等 ) 运行 、 禁 止 访问 有 害 网 站 ， 以 及 监视 PC 的 使 用 等 。 管 理 员 (或 者 父母 ) 主要 安装 
这 类 拦截 / 阻 断 应 用 程序 来 管理 /监视 。 受 管理 /监视 的 一 方 当 然 千方百计 地 想 关 闭 这 些 监 视 程序 ， 
但 由 于 这 些 监视 程序 采用 DLL 注 入 技术 , 它们 可 以 隐藏 在 正常 进程 中 运行 , 所 以 管理 员 一 般 不 用 
担心 被 发 现 或 被 终止 ( 若 用 户 强制 终止 Windows 系 统 进程 ， 也 会 一 并 关闭 系统 ， 最 后 也 算 达 成 了 
拦截 / 阻 断 这 一 目标 )。 


23.25 恶意 代码 


恶意 代码 制作 者 们 是 不 会 置 这 么 好 的 技术 于 不 顾 的 , 他 们 积极 地 把 DLL 注入 技术 运用 到 自己 
制作 的 恶意 代码 中 。 这 些 人 把 自己 编写 的 恶意 代码 隐藏 到 正常 进程 ( winlogon.exe、services.exe、 
svchostexe, 、explorer.exe 等 )， 打 开 后 门 端口 ( Backdoor port )， 尝 试 从 外 部 连接 ,或 通过 键盘 偷 
录 (Keylogging ) 功能 将 用 户 的 个 人 信息 盗 走 。 只 有 了 解 恶意 代码 制作 者 们 使 用 的 手法 ， 才 能 拿 
出 相应 对 策 。 


23.3 DLL 注入 的 实现 方法 


向 某 个 进程 注入 DLL 时 主要 使 用 以 下 三 种 方法 : 
DLL 注入 方法 

O 创建 远程 线程 ( CreateRemoteThread() API ) 
Q 使 用 注册 表 ( Applnit DLLs 值 ) 

Q i BJ ( SetWindowsHookEx() API ) 


23.4 CreateRemoteThread() 


本 方法 是 《Windows 核 心 编程 》 一 书 ( 素 有 “Windows 编 程 圣经 ”之 称 ) 中 介绍 过 的 。 本 节 
通过 一 个 简单 的 示例 来 演示 如 何 通 过 创建 远程 线程 完成 DLL 注入 。 


23.4.1 练习 示例 myhack.dll 


本 示例 将 把 myhack.dll 注 入 notepad.exe 进 程 ， 被 注入 的 myhack.dll 是 用 来 联网 并 下 载 
http://www.naver.com/index.html 文 件 的 。 


复制 练习 文件 
首先 将 练习 文件 ( InjectDll.exe、myhack.dll ) 分 别 复制 到 工作 文件 夹 ( C:\Work )， 如 图 23-2 


所 示 。 
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图 23-2 复制 练习 文件 
运行 notepad.exe 程 序 
先 运行 notepad.exe( 日记 本 ) 程序 ， 再 运行 Process Explorer ( 或 者 Windows 任 务 管理 器 ) 获 


取 notepad.exe 进 程 的 PID。 
可 以 看 到 图 23-3 中 notepad.exe 进 程 的 PID 值 为 1016。 









1 File Options View 
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图 23-3 Process Explorer 


运行 DebugView 
DebugView 是 一 个 非常 有 用 的 实用 程序 , 它 可 以 用 来 捕获 并 显示 系统 中 运行 的 进程 输出 的 所 
有 调试 字符 串 ,由 大 名 鼎鼎 的 Process Explorer 制 作 人 Mark Russinovich 开 发 而 成 。 请 访问 下 面 URL 
下 载 。 
http://technet.microsoft.com/en-us/sysinternals/bb896647 
示例 中 的 DLL 文件 被 成 功 注入 notepad.exe 进 程 时 , 就 会 输出 调试 字符 串 , 此 时 使 用 DebugView 
即 可 查看 ， 如 图 23-4 所 示 。 
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提示 
应 当 养 成 在 应 用 程序 开发 中 灵活 使 用 DebugView 查看 调试 日 志 的 好 习惯 。 
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图 23-4  DebugView 


myhack.dll 注 入 
InjectDll.exe 是 用 来 向 目标 进程 注入 DLL 文 件 的 实用 小 程序 ( 后 面 会 详细 讲解 工作 原理 及 源 代 
码 )。 如 图 23-5 所 示 ， 打 开 命 令 窗口 并 输入 相应 参数 即 可 运行 InjectDll.exe。 





ma EA C'AWindoves System32Xemd.exe 








图 23-5 ”运行 InjectD1lLexe 
确认 DLL 注入 成 功 
下 面 要 检查 myhack.dll 文 件 是 否 成 功 注入 notepad.exe 进 程 。 首 先 查 看 DebugView 日 志 ， 如 图 
23-6 所 示 。 





File Edit Capture Options Computer Help 
lam < S-A] EE“ vv | ñ 
| # Time Debug Print 

i0 0.00000000 [1015] «myhack.dll» Injection!!! 























图 23-6 DLL 注入 成 功 的 消息 
DebugView 中 显示 出 调试 字符 串 ， 该 字符 串 是 由 PID:1016 进 程 输出 的 。PID:1016 进 程 就 是 注 
A myhack.dll 的 notepad.exe 进 程 。 成 功 注入 myhack.dll 时 ， 就 会 调用 执行 DIMain0 函数 的 


OutputDebugsString() API 
在 Process Explorer 中 也 可 以 看 到 myhack.dll 已 经 成 功 注 人 notepad.exe 进 程 。 在 Process Explorer 
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的 View 菜 单 中 ， 选 择 Show Lower Pane 与 Lower Pane Views - DLLs 项 ， 然 后 选择 notepad.exe 进 程 ， 
就 会 列 出 所 有 加 载 到 notepad exe 进 程 中 的 dl， 如 图 23.7 所 示 。 在 图 中 可 以 看 到 已 e JU CE A 
notepad.exe 的 myhack.dll 文 件 。 
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图 23-7 注入 notepad.exe 中 的 myhack.dll 


结果 确认 
下 面 确 认 一 下 指定 网 站 的 index.html 文 件 下 载 是 否 正 常 。 
双击 图 23-8 中 的 Index.html 文 件 ， 在 正 浏览 器 中 查看 页 面 。 
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图 23-8 ”从 网 站 下 载 的 index.html 
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图 23-9 看 上 去 虽然 与 实际 网 站 的 主页 面 有 些 不 同 , 但 可 以 肯定 它 就 是 该 网 站 的 index.htm] 文 件 。 
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图 23-9 用 IE 查看 index.html 


提示 
有 时 会 因 系 统 用 户 权限 、 安 全 设置 等 导致 无 法 下 载 index.html 文件 。 





就 像 在 上 述 示例 中 看 到 的 一 样 ， 借 助 创建 远程 线程 的 方法 可 以 成 功 “渗透 ”指定 进程 ,进而 
可 以 随意 操作 。 下 面 继续 分 析 示 例 源 代码 , 进一步 学 习 使 用 CreateRemoteThread() API 实 施 DLL 注 
人 的 原理 与 实现 方法 。 


23.4.2 ”分 析 示 例 源 代码 


提示 
以 下 介绍 的 源 代 码 是 用 Micosoft Visual C++ Express 2010 编写 的 ,在 Windows XP/7 
32 位 操作 系统 中 通过 测试 。 


Myhack.cpp 
先 分 析 一 下 myhack.dl! 源 代码 (myhack.cpp )。 


1£5323-1  myhack.cpp 
// myhack.cpp 


stinclude "windows.h" 
sinclude "tchar.h" 


Xpragma comment(lib, "urlmon.lib") 


#define DEF URL (L"http://www.naver.com/index.html") 
*define DEF FILE NAME (L"index.html") 


HMODULE g hMod - NULL; 


DWORD WINAPI ThreadProc(LPVOID lParam) 
i 
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TCHAR szPath[ MAX PATH] = {0,}; 


if( !GetModuleFileName( g_hMod, szPath, MAX PATH ) ) 
return FALSE; 


TCHAR *p = tcsrchr( szPath, 'NN' ); 
IEE pl) 
return FALSE; 


tcscpy s(p+1, MAX PATH, DEF FILE NAME); 





URLDownloadToFile(NULL, D*F URL, szPath, 0, NULL); 


return 0; 


) 


BOOL WINAPI DLLMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID 
lpvReserved) 


f 
HANDLE hThread = NULL; 


g_hMod = (HMODULE)hinstDLL; 


switch( fdwReason ) 
{ , 
case DLL PROCESS ATTAC 
OutputDebugString(L"myhack.dll Injection!!!"); 
hThread = CreateThread(NULL, 0, ThreadProc, NULL, 0, NULL); 
CloseHandle(hThread); 
break; 


) 


return TRUE; 


在 DlIMain() 函 数 中 可 以 看 到 , 该 DLL 被 加 载 (DLL PROCESS ATTACH ) 时 ， 先 输出 一 个 调 
试 字符 串 (“myhack.dll Injection!!!”)， 然 后 创建 线程 调用 函数 ( ThreadProc )。 在 ThreadProc0) 函 
数 中 通过 调用 urlmon!URLDownloadToFile() API 来 下 载 指 定 网 站 的 index.html 文 件 。 前 面 提 到 过 ， 
问 进 程 注 入 DLL 后 就 会 调用 执行 该 DLL 的 DIIMain(0) 函 数 。 所 以 当 myhack.dll 注 入 notepad.exe 进 程 
后 ,最终 会 调用 执行 URLDownloadToFile() API, 


InjectDll.cpp 
InjectDll.exe 程 序 用 来 将 myhack.dll 注 入 notepad.exe 进 程 ， 下 面 看 一 下 其 源 代码 。 


代码 23-2 InjectDil.cpp 


// InjectDll.cpp 


#include “windows.h” 
#include "tchar.h" 


BOOL InjectDll(DWORD dwPID, LPCTSTR szDllPath) 
t 
HANDLE hProcess = NULL, hThread = NULL; 
HMODULE hMod = NULL; 
LPVOID pRemoteBuf = NULL; 
DWORD dwBufSize = (DWORD)( tcslen(szDllPath) + 1) * sizeof(TCHAR); 
LPTHREAD START ROUTINE pThreadProc; 


// #1. 使 用 dwPID 获 取 目 标 进程 (notepad.exe) 445. 
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if ( !(hProcess = OpenProcess(PROCESS ALL ACCESS, FALSE, dwPID)) ) 


1 
 tprintf(L"OpenProcess(*d) failed!!! [%d]\n”, dwPID, 
GetLastError()); 
return FALSE; 
) 


// #2. 在 目标 进程 (notepad.exe) 内 存 中 分 配 szDLLName 大 小 的 内 存 。 
pRemoteBuf = VirtualAllocEx(hProcess, NULL, dwBufSize, MEM_COMMIT, 
PAGE READWRITE); 


// #3. 将 myhack.dll 路 径 写 入 分 配 的 内 存 。 
WriteProcessMemory(hProcess, pRemoteBuf, (LPVOID)szDllPath, dwBufSize, 
NULL) ; 


// #4. 获取 LoadLibraryW() API 的 地 址 。 
hMod = GetModuleHandle(L"kernel32.dll"); 
pThreadProc = (LPTHREAD START ROUTINE)GetProcAddress (hMod, 


"LoadLibraryW"); 
// #5. 在 notepad .exe 进 程 中 运行 线程 。 
hThread = CreateRemoteThread(hProcess, // hProcess 
NULL, // lpThreadAttributes 
0, // dwStackSize 
pThreadProc, // lpStartAddress 
pRemoteBuf., // VipParameter 
0, // dwCreationFlags 
NULL) ; // LpThreadId 
WaitForSingleObject(hThread, INFINITE); 
CloseHandle(hThread); 
CloseHandle(hProcess); 
return TRUE; 
) 
int tmain(int argc, TCHAR *argv[]) 
1 
if( argc != 3) 
t 
_tprintf(L“USAGE : %s pid dll pathWn", argv[0]); 
return 1; 
J 
// inject dll 
if( InjectDll((DWORD) tstol(argv[1]), argv[2]) ) 
_tprintf(L“InjectDll(N“%wsN”) success!!!\n”, argv[2]); 
else 
_tprintf(L“InjectDll(N“%sN”) failed!!!Nn”, argv[2]); 
return 0; 
} 


main(0) 函 数 的 主要 功能 是 检查 输入 程序 的 参数 , 然后 调用 InjectDl10 孙 数 。InjectDl10 函 数 是 用 
来 实施 DLL 注入 的 核心 函数 ， 其 功能 是 命令 目标 进程 ( notepad.exe ) 自行 调用 LoadLibrary 
( "myhack.dll" ) API。 下 面 逐 行 详细 查看 InjectD110) 函 数 。 

e 获取 目标 进程 句柄 

hProcess = OpenProcess(PROCESS ALL ACCESS, FALSE, dwPID)) 
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调用 OpenProcess() API， 借 助 程序 运行 时 以 参数 形式 传递 过 来 的 dwPID 值 ， 获 取 notepad.exe 
进程 的 句柄 (PROCESS ALL ACCESS 权限 )。 得 到 PROCESS_ALL_ACCESS 权 限 后 ， 就 可 以 使 
用 获取 的 句柄 ChProcess ) 控制 对 应 进程 ( notepad.exe ). 

e 将 要 注入 的 DLL 路 径 写 入 目标 进程 内 存 

pRemoteBuf = VirtualAllocEx(hProcess, NULL, dwBufSize, MEM COMMIT, PAGE READWRITE); 

需要 把 即将 加 载 的 DLL 文件 的 路 径 (字符 串 ) 告知 目标 进程 (notepad.exe )。 因 为 任何 内 存 
空间 都 无 法 进行 写 人 操作 ， 故 先 使 用 VirtualAllocEx() API 在 目标 进程 (notepad.exe ) 的 内 存 空 间 
中 分 配 一 块 缓冲 区 , 有 旦 指定 该 缓冲 区 的 大 小 为 DLL 文 件 路 径 字符 串 的 长 度 ( 舍 Terminating NULL ) 
即 可 。 

提示 — rs 
VirtualAllocEx() $% žk 6 ig ]4Ë ( pRemoteBuf ) 为 分 配 所 得 缓冲 区 的 地 址 。 该 地 址 
并 不 是 程序 ( Inject.exe ) 自身 进程 的 内 存 地 址 ， 而 是 hProcess 句柄 所 指 目 标 进 程 

(notepad.exe ) 的 内 存 地 址 ， 请 务必 牢记 这 一 点 。 





WriteProcessMemory(hProcess,pRemoteBuf, (LPVOID)szDllName,dwBufSize,NULL); 


fi FH WriteProcessMemory() API 将 DLL 路 径 字 符 串 (“Ci\work\dummy.dll”) 写 和 分配 所 得 缓冲 
[X ( pRemoteBuf ) Jibi; WriteProcessMemory() API 所 写 的 内 存 空 间 也 是 hProcess 句 柄 所 指 的 目标 
进程 (notepad.exe ) 的 内 存 空间 。 这样 , 要 注入 的 DLL 文件 的 路 径 就 被 写 人 目标 进程 (notepad.exe ) 
的 内 存 空间 。 

调试 AP 一 一 

Windows 操作 系统 提供 了 调试 API， 借 助 它 们 可 以 访问 其 他 进程 的 内 存 空 间 。 其 
中 具有 代表 性 的 有 VirtualAllocEx0 ~ VirtualFreeEx() 、 WriteProcessMemory() 、 
ReadProcessMemory() & , 








e 获取 LoadLibraryW( APIM ht 


hMod = GetModuleHandle("kernel32.dll"); 
pThreadProc - (LPTHREAD START ROUTINE)GetProcAddress(hMod, "LoadLibraryW"); 


调用 LoadLibrary() API 前 先 要 获取 其 地 址 (LoadLibraryW0O 是 LoadLibrary(0) 的 Unicode 字 符 串 
版 本 )。 

最 重要 的 是 理解 好 以 上 代码 的 含义 。 我 们 的 目标 明明 是 获取 加 载 到 notepad.exe 进 程 的 
kernel32.dllff)LoadLibraryW() API 的 起 始 地 址 ， 但 上 面 的 代码 却 用 来 获取 加 载 到 InjectD1Lexe 进 程 
的 kernel32.dll 的 LoadLibraryW() API 的 起 始 地 址 。 如 果 加 载 到 notepad.exe 进 程 中 的 kernel32.d1 的 地 
址 与 加 载 到 InjectDll.exe 进 程 中 的 kernel32.dll 的 地 址 相同 , 那么 上 面 的 代码 就 不 会 有 什么 问题 。 但 
是 如 果 kernel32.dll 在 每 个 进程 中 加 载 的 地 址 都 不 同 ,那么 上 面 的 代码 就 错 了 ,执行 时 会 发 生 内 存 
引用 错误 。 


其 实在 Windows 系 统 中 ，kernel32.dll 在 每 个 进程 中 的 加 载 地 址 都 是 相同 的 。 
《Windows 核 心 编程 》 一 书 中 对 此 进行 了 介绍 ， 此 后 这 一 特性 被 广泛 应 用 于 DLL 注入 技术 。 
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| , m-———————————————— 
根据 OS 类 型 、 语 言 、 版 本 不 同 ，kernel32.dll 加 载 的 地 址 也 不 同 。 并 且 Vista/7 中 
应 用 了 新 的 ASLR 功能 ， 每 次 启动 时 ， 系 统 DLL 加 载 的 地 址 都 会 改变 。 但 是 在 系统 运 
行 期 间 它 都 会 被 映射 (Mapping ) 到 每 个 进程 的 相同 地 址 。Windows 操作 系统 中 ，DLL 
首次 进入 内 存 称 为 “加 载 ”(Loading ), 以 后 其 他 进程 需要 使 用 相同 DLL 时 不 必 再 次 加 
载 ， 只 要 将 加 载 过 的 DLL 代码 与 资源 映射 一 下 即 可 ， 这 种 映射 技术 有 利于 提高 内 存 的 
使 用 效率 。 


像 上 面 这 样 ，OS 核 心 DLL 会 被 加 载 到 自身 固有 的 地 址 ，DLL 注 和 人 利用 的 就 是 Windows OS 的 
这 一 特性 ( 该 特性 也 可 能 会 被 恶意 使 用 ， 成 为 Windows 安 全 漏洞 )。 所 以 ， 导 入 InjectDll.exe 进 程 
中 的 LoadLibraryW() 地 址 与 导入 notepad.exe 进 程 中 的 LoadLibraryW0O 地 址 是 相同 的 。 
提示 
一 般 而 言 ，DLL 文件 的 ImageBase 默认 为 0x10000000, 依次 加 载 a.dll 与 b.dll 时 ， 
先 加 载 的 a.dll 被 正常 加 载 到 0x10000000 地 址 处 ， 后 加 载 的 b.dll 无 法 再 被 加 载 到 此 ， 
而 是 加 载 到 其 他 空白 地 址 空间 ， 也 就 是 说 ， 该 过 程 中 发 生 了 DLL EZ (AA a.dll 
已 经 先 被 加 载 到 它 默认 的 地 址 处 )。 
Æ kernel32.dll 加 载 到 各 个 进程 时 地 址 各 不 相同 ， 那 么 上 述 代码 肯定 是 错误 的 。 但 
实际 在 Windows 操作 系统 中 ，kernel32.dll 不 管 在 哪个 进程 都 会 被 加 载 至 相同 地 址 。 为 
什么 会 这 样 呢 ? 我 借助 PEView 软件 查看 了 Windows 操作 系统 的 核心 DLL 文件 的 
ImageBase 值 ， 罗 列 如 下 表 (Windows XP SP3 版 本 ， 根 据 Windows 更 新 不 同 ， 各 值 会 
有 变化 )。 


系统 DLL 的 ImageBase 与 SizeOflmage 


DLL 文件 ImageBase SizeOflmage 
msvcrt.dll 77BC0000 00058000 
user32.dll 77CF0000 00090000 
gdi32.dll 77E20000 00049000 
advapi32.dll 77F50000 000A8000 
kernel32.dll 7C7D0000 0013D0000 


shell32.dll 7D5A0000 007FD000 


微软 整理 了 一 份 OS 核心 DLL 文件 的 ImageBase 值 , 防止 各 DLL 文件 加 载 时 出 现 
区 域 重合 ， 这 样 加 载 DLL 就 不 会 发 生 DLL 重 定位 了 。 


e 在 目标 进程 中 运行 远程 线程 (Remote Thread ) 


hThread = CreateRemoteThread(hProcess, NULL, 0, pThreadProc, pRemoteBuf, 0, NULL); 
pThreadProc = notepad .exe 进 程 内 存 中 的 LoadLibraryW( ) 地 址 
pRemoteBuf = notepad.exe 进 程 内 存 中 的 “Cc:\work\myhack.dll” 字 符 囊 地 址 


一 切 准 备 就 绪 后 ， 最 后 向 notepad.exe 发 送 一 个 命令 ， 让 其 调用 LoadLibraryW() API 函 数 加 载 
指定 的 DLL 文 件 即 可 ， 遗 憾 的 是 Windows 并 未 直接 提供 执行 这 一 命令 的 API。 但 是 我 们 可 以 另 用 
蹊 径 ， 使 用 CreateRemoteThread(0 这 个 API( 在 DLL 注入 时 几乎 总 会 用 到 )。CreateRemoteThread() 
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API 用 来 在 目标 进程 中 执行 其 创建 出 的 线程 ， 其 函数 原型 如 下 : 


CreateRemoteThread() 
HANDLE WINAPI CreateRemoteThread( 


|. in HANDLE hProcess, // 目标 进程 句柄 
__in LPSECURITY ATTRIBUTES lpThreadAttributes, 
an SIZE dwStackSize, 
. in  LPTHREAD START ROUTINE — lpStartAddress, // BESKXAM 
. in  LPVOID lpParameter, // 线程 参数 地 址 
. in DWORD dwCreationFlags, 
__ out LPDWORD lpThreadId 
js Håb: MSDN 


除 第 一 个 参数 hProcess 外 ， 其 他 参数 与 CreateThread0 函 数 完全 一 样 。hProcess 参 数 是 要 执行 
线程 的 目标 进程 (或 称 “ 远 程 进程 “宿主 进程 ”) 的 句柄 。lpStartAddress 与 jpParameter 参 数 分 
别 给 出 线程 函数 地 址 与 线程 参数 地 址 。 需 要 注意 的 是 ， 这 2 个 地 址 都 应 该 在 目标 进程 虚拟 内 存 空 
间 中 (这样 目 标 进程 才能 认识 它们 )。 

初次 接触 DLL 注 人 技术 的 读者 朋友 可 能 会 头 昏 脑 涨 、 不 知 所 云 。 本 来 想 向 其 他 进程 注入 DLL 
文件 ， 这 里 为 何 突然 出 现 线程 运行 函数 呢 ? 仔细 观察 线程 函数 ThreadProcO 与 LoadLibrary() API, 
可 以 从 中 得 到 一 些 启示 。 


ThreadProc 5LoadLibrary i 3c & 4! roi 
DWORD WINAPI ThreadProc( 
. in "LPVOID lpParameter 


); 
HMODULE WINAPI LoadLibrary( 


— Xn. EPCTSTR lpFileName 
); Háb: MSDN 


两 函数 都 有 一 个 4 字 节 的 参数 ， 并 返回 一 个 4 字 节 的 值 。 也 就 是 说 ， 二 者 形态 结构 完全 一 样 ， 
灵感 即 源 于 此 。 调 用 CreateRemoteThreadO0 时 ， 只 要 将 LoadLibrary0O 函 数 的 地 址 传递 给 第 四 个 参数 
lpStartAddress， 把 要 注入 的 DLL 的 路 径 字 符 串 地 址 传递 给 第 五 个 参数 lpParameter 即 可 ( 必须 是 目 
标 进程 的 虚拟 内 存 空 间 中 的 地 址 )。 由 于 前 面 已 经 做 好 了 一 切 准备 ， 现 在 调用 该 函数 使 目标 进程 
加 载 指定 的 DLL 文件 就 行 了 。 

其 实 ，CreateRemoteThread() 函 数 最 主要 的 功能 就 是 驱使 目标 进程 调用 LoadLibrary0 函 数 ， 进 
而 加 载 指定 的 DLL 文 件 。 


23.4.3 ”调试 方法 


本 节 将 介绍 如 何 从 DLL 文 件 注入 目标 进程 就 开始 调试 。 首 先 重新 运行 notepad.exe， 然后 使 用 
OllyDbg2 的 Attach 命 令 附 加 新 生成 的 notepad.exe 进 程 (使 用 最 新 版 本 的 OllyDbg2 进 行 DLL 注 入 调 
试 更 方便 )。 

如 图 23-10 所 示 , 使 用 调试 器 中 的 Attach 命 令 附加 运行 中 的 进程 后 ,进程 就 会 暂停 运行 。 按 F9 
让 notepad.exe 运 行 起 来 。 然 后 如 图 23-11 所 示 ， 在 Option 对 话 框 的 Events 中 复 选 “Pause on new 
module(DLL)” 一 项 。 这 样 一 来 ， 每 当 有 新 的 DLL 被 加 载 到 notepad.exe 进 程 ， 都 会 在 该 DLL 的 EP 
处 和 暂停。 同样， 进行 DLL 注入 时 也 会 在 该 DLL 的 EP 处 暂停 。 使 用 InjectD1Lexe 将 myhack.dll 文 件 注 
入 notepad.exe 进 程 ， 此 时 调试 器 将 暂停 ， 如 图 23-12 所 示 。 
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| svchost \Windows\system32\svohost, exe 
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图 23-11 OllyDbg2 Option: Events Pause on new module(DLL) 
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图 23-12 另 一 个 DLL 的 EP 
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调试 器 暂停 的 地 方 并 不 是 myhack.dll 的 EP ， 而 是 一 个 名 为 MSASN1.dll 模 块 的 EF。 加 载 
myhack.dll 前 ， 需 要 先 加 载 它 导 入 的 所 有 DLL 文件 ，MSASN1.dl 文 件 即 在 该 过 程 中 被 加 载 。 
OllyDbg2 的 Pause on new module(DLL) 被 选中 时 ， 每 当 加 载 新 的 dl 文件 ， 都 暂停 在 相应 DLL 文 件 
的 EP 处 。 不 断 按 (F9) 运 行 键 ， 直 到 在 myhack.dll 的 EP 处 暂停 。 

图 23-13 显 示 的 即 是 myhack.dll 模 块 的 EP 和 人口 处 ， 接 下 来 从 该 人 口 处 调试 就 可 以 了 ( 调试 前 ， 
请 先 取消 对 Pause on new module(DLL) 项 的 复 选 ， 恢 复 之 前 “未 选中 ”状态 )。 











RETN 
|| 8565 ES HOU ESP, DWORD PTR SS:[EBP-181 
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图 23-13 myhack.dll 的 EP 


提示 
根据 用 户 的 系统 环境 ， 加 载 的 DLL 类 型 与 个 数 可 能 有 所 不 同 。 


至 此 , 对 于 使 用 CreateRemoteThread(0) 函 数 进行 DLL 注入 技术 的 讲解 就 完成 了 。 初 学 时 可 能 不 
怎么 理解 ， 反 复 认 真 阅读 前 面 的 讲解 ， 实 际 动手 操作 ， 就 较 容易 掌握 。 

DR e MM < 
使 用 CreateRemoteThread0O 函 数 注 入 相应 DLL 后 ， 如 何 再 次 邱 载 注入 的 DLL, iX 
部 分 内 容 请 参考 第 24 章 。 


23.5 Applnit _ DLLs 


进行 DLL 注入 的 第 二 种 方法 是 使 用 注册 表 。Windows 操 作 系 统 的 注册 表 中 默认 提供 了 
AppInt DLLs 与 LoadAppInit DLLs 两 个 注册 表 项 ， 如 图 23-14 所 示 。 

在 注册 表 编 辑 器 中 ， 将 要 注入 的 DLL 的 路 径 字 符 串 写 人 AppImit DLLs 项 目 ， 然 后 把 
LoadApplait DLLs 的 项 目 值 设置 为 1。 重 启 后 ， 指 定 DLL 会 注 人 所 有 运行 进程 。 该 方法 操作 非常 
简单 ， 但 功能 相当 强大 。 

提示 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
上 述 方法 的 工作 原理 是 ，User32.dll 被 加 载 到 进程 时 ， 会 读 取 AppInit DLLs 注册 
表 项 ， 若 有 值 ， 则 调用 LoadLibrary) API 加 载 用 户 DLL。 所 以 ， 严 格 地 说 ， 相 应 DLL 
并 不 会 被 加 载 到 所 有 进程 ,而 只 是 加 载 至 加 载 user32.dll 的 进程 。 请 注意 ，Windows XP 
会 忽略 LoadAppInit DLLs 注册 表 项 。 
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| jp Winsat ij 
E ju WInSATAPI 
k wow 





4, WUDF xl 


F823-14 ”注册 表 编 辑 器 ( regedit.exe ) 














23.5.1 分 析 示 例 源码 


myhack2.cpp 
下 面 分 析 一 下 myhack2.dll 的 源 代码 ( myhack2.cpp )， 如 代码 25-3 所 示 。 


代码 25-3 myhack2.cpp 


// myhack2.cpp 


Xinclude "windows.h" 
Xinclude "tchar.h" 


#define DEF CMD L”c:\\Program FilesNNInternet ExplorerNWiexplore.exe" 
#define DEF ADDR L"http://www.naver.com" 
#define DEF DST PROC L'"notepad.exe" 


BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID 


lpvReserved) 
1 
TCHAR szCmd[MAX PATH] = (0,); 
TCHAR szPath[MAX PATH] = {0,}; 
TCHAR *p = NULL; 
STARTUPINFO si = (0,); 
PROCESS INFORMATION pi = {0,}; 


si.cb = sizeof(STARTUPINFO) ; 
si.dwFlags - STARTF USESHOWWINDOW; 
si.wShowWindow - SW HIDE; 


switch( fdwReason ) 
t 
case DLL PROCESS ATTACH : 
if( !GetModuleFileName( NULL, szPath, MAX PATH ) ) 
break; 


if( !(p = tcsrchr(szPath, 'NN')) ) 
break; 


if( tcsicmp(p-1, DEF DST PROC) ) 


break; 


wsprintf(szCmd, L”%s %s”, DEF CMD, DEF ADDR); 
if( !CreateProcess(NULL, (LPTSTR) (LPCTSTR) szCmd, 
NULL, NULL, FALSE, 
NORMAL PRIORITY CLASS, 
NULL, NULL, &si, &pi) ) 
break; 


if( pi.hProcess !- NULL ) 
CloseHandle(pi.hProcess); 


break; 


) 


return TRUE; 


myhack2.d1 的 源 代 码 非 常 简单 ， 若 当前 加 载 自 己 的 进程 为 “notepad.exe”， 则 以 隐藏 模式 
运行 正 ， 连 接 指定 网 站 。 这 样 就 可 以 根据 不 同 目的 执行 多 种 任务 了 。 


23.5.2 ”练习 示例 myhack2.dll 


下 面 使 用 修改 注册 表 项 的 方法 做 个 DLL 注入 练习 ， 注 意 操作 顺序 。 

复制 文件 

首先 将 要 注入 的 DLL 文件 ( myhack2.dll ) 复制 到 合适 位 置 ( 在 我 电脑 中 的 位 置 为 C:\work\ 
myhack2.dll )， 如 图 23-15 所 示 。 
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图 23-15 ”复制 myhack2.dll 到 工作 文件 夹 
修改 注册 表 项 
运行 注册 表 编 辑 咒 regedit.exe， 进 入 如 下 路 径 。 


HKEY LOCAL MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 
编辑 修改 AppInit_DLLs 表 项 的 值 ， 如 图 23-16 所 示 ( 请 输入 myhack2.dll 的 完整 路 径 )。 


23.5 Applnit DLLs 213 


数值 名 称 OD: 
AppInit_DLLs - 


TT IUE 
c; /work/myhack2. dll 











=== F US 


图 23-16 ”编辑 AppInit DLLs 表 项 
然后 修改 LoadAppInit DLLs 注 册 表 项 的 值 为 1， 如 图 23-17 所 示 。 


编辑 DWORD {32 位 ) 值 ` 


TEDN 
LoadAppInit_DLLs 
HENEN: Eš 


© 十 六 进 制 00 
OHH) 











图 23-17 ”修改 LoadAppInit DLLs 值 


重启 系统 
注册 表 项 修改 完毕 后 ， 重 启 系统 ， 使 修改 生效 。 系 统 重启 完成 后 ， 使 用 Process Explorer 查 看 


myhack2.dl] 是 和 否 被 注入 所 有 ( 加 载 user32.dll 的 ) 进程 。 

从 图 23-18 可 以 看 到 ，myhack2.dll 成 功 注 入 所 有 加 载 user32.dll 的 进程 。 但 由 于 它 的 目标 进程 
仅 是 notepad.exe 进 程 , 所 以 在 其 他 进程 中 不 会 执行 任何 动作 。 运行 notepad.exe, 可 以 看 到 IE 被 (以 
隐藏 模式 ) 执行 ， 如 图 23-19 所 示 。 





; Handle or DLL substring: 





Process | Ü | Type Handle or DLL 


taskhost,exe c workt*&myhack2,dll 
vSSVC,exe c workVWmyhack2,dll 
Searchlndexer,exe ci workSwmyhack2 dil 
wininit,exe c worksmyhack2,dll 
winlogon.exe c'Wwork%myhack2.dll 
services,exe c'Wworkwmyhack2,. dll 
Isass,exe c:i%workwmyhack2,dll 
svchostexe ci worksmyhack2.dll 
Svchostexe c'workwmyhack2,dll 
Svchostexe cHWworkWwmyhack2,dil 
svchostexe c:'Wworkwmyhack2,dll 
svchostexe ch workt&myhack2,dll 
svchostexe cv workwWmyhack2,dll 
Svchostexe c workt*&tmyhack2, dll 
spoolsv,exe ci workSmyhack2,dll 
svchost,exe ci worktstmyhack2,dll 








图 23-18 ”被 注入 的 myhack2.dll 
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ga winlogon,exe 





fr Process PID CPU Description P. 
| a F} System Idle Process | 0 43.08 1 
| micsrss.exe | 336 Client Server Runtime P... M 
| & m 1 wininit.exe | 372 Windows N di 
| 人 jcsrss,exe | 384 Client Server Runtime P... 4 
| 412 windows Di F 
lg 

| 









[<í w zi ane 


MÁS] 












Name Description Company Name 
jLPK.dll Language Pack Microsoft Corporati į 
MSCTF Server DLL Microsoft Corporati 






MSCTF Server DLL Microsoft Corporati 






[notepad exe.mui Microsoft Corporati 
ntdll.dl! NT DLL Microsoft Corporati 
0le32, dil o o Windows Microsoft OLE Microsoft Corporati = 
1 * ana a m | * 


CPU Usage: 56. 92% Commit nage 29. 93% Processes: 39 Physical cas 




























图 23-19 ”notepad.exe 的 myhack2.dll 运 行 IE 


2 — ——————————————  —Á— —Á — —— ——X 
Applnit DLLs 注册 表 键 非常 强大 ,通过 它 几 乎 可 以 向 所 有 进程 注入 DLL 文件。 车 
被 注入 的 DLL 出 现 问 题 (Bug )， 则 有 可 能 导致 Windows 无 法 正常 启动 ， 所 以 修改 该 
AppInit DLLs 前 务必 彻 查 。 


23.6 SetWindowsHookEx() 


注入 DLL 的 第 三 个 方法 就 是 消息 钓 取 ， 即 用 SetWindowsHookEx() APIK IRK E, “T”, 
然后 由 OS 将 指定 DLL (含有 “ 钧 子 ” 过 程 ) 强制 注入 相应 ( 带 窗 口 的 ) 进程 。 其 工作 原理 与 使 
用 方法 在 第 21 章 中 已 有 详细 讲解 ， 请 参考 。 


23.7 小结 


本 章 我 们 学 习 了 有 关 DLL 注 和 的 概念 及 具体 的 实现 方法 。 这 些 内 容 在 代码 逆向 分 析 中 占据 着 
很 大 比重 ,学 习 时 要 重点 理解 DLL 注 入 技术 的 内 部 工作 原理 。 此 外 ， 进 程 钩 取 与 “ 打 补 丁 ” 中 也 
广泛 应 用 DLL 注 人 技术 。 





Q. 开始 学 习 代 码 逆向 分 析 前 ， 是 不 是 得 先 学 汇编 语言 、C 语 言 、Win32 API? 

A. 我 开始 学 习 代 码 逆 向 分 析 技 术 时 ， 完 全 不 懂 汇 编 语言 ( 可 能 大 部 分 代码 逆向 分 析 人 员 都 
如 此 )。 入门 阶段 重要 的 不 是 汇编 知识 ,而 是 调试 器 的 使 用 方法 、Windows 内 部 结构 等 内 
容 。C 语 言 与 Win32 API 是 一 定 要 学 好 的 ， 如 果 事 先 已 经 学 过 ， 那 当然 好 ; 没 学 过 也 不 要 
担心 ， 遇 到 就 随时 查看 并 学 习 相 关 资 料 。 初 学 时 多 碰壁 反而 是 好 事 。 
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. 我 编写 了 一 个 DLL 文件 ， 想 注入 Explorerexe 进 程 ， 但 杀毒 软件 总 是 报告 病毒 。 

. 向 系统 进程 注入 DLL 时 ， 大 部 分 杀毒 软件 会 根据 行为 算法 将 其 标识 为 病毒 并 查 杀 。 

. 前 面 的 讲解 中 提 到 “CreateRemoteThread() 实 际 调 用 的 是 LoadLibrary()”， 实 际 生成 的 
不 是 线程 吗 ? 

. 是 的 ， 会 在 目标 进程 中 创建 线程 。 与 普通 意义 上 的 创建 线程 相 比 ， 调 用 LoadLibrary() 占 
据 了 很 大 比重 ， 所 以 才 这 样 说 的 (这 可 能 给 大 家 造成 了 混乱 )。 

. 进程 A 不 具有 串口 通信 功能 ,我 想 使 用 DLL 注入 技术 为 进程 添加 该 功能 ， 这 可 以 实现 吗 ? 
. 从 技术 角度 来 说 ， 问 题 不 大 。 只 要 把 串口 通信 功能 放 入 要 注入 的 DLL 即 可 。 但 如 需 与 原 
程序 联动 ， 设 计时 必须 进行 更 准确 的 分 析 ， 找 到 合适 的 方案 ( 我 认为 这 个 问题 其 实 就 是 
灵活 运用 代码 逆向 分 析 技 术 的 一 个 示例 ， 即 通过 代码 逆向 分 析 技 术 ， 向 程序 中 添加 新 功 
能 或 修改 不 足 之 处 )。 
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DLL 印 载 (DLL Ejection ) 是 将 强制 插入 进程 的 DLL 弹出 的 一 种 技术 ， 其 基本 工作 原理 与 使 
用 CreateRemoteThread API 进 行 DLL 注入 的 原理 类 似 。 


24.1 DLL 和 扼 载 的 工作 原理 


前 面 我 们 学 习 过 使 用 CreateRemoteThread() API 进 行 DLL 注 入 的 工作 原理 ， 概 括 如 下 : 
驱使 目标 进程 调用 LoadLibrary() API 

同样 ，DLL 印 载 工 作 原 理 也 非常 简单 : 
驱使 目标 进程 调用 FreeLibrary() API 


也 就 是 说 ， 将 FreeLibrary() API 的 地 址 传递 给 CreateRemoteThread() 的 lpStartAddress 参 数 ， 并 
把 要 钊 载 的 DLL 的 句柄 传递 给 jpParameter 参 数 。 

提示 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
每 个 Windows 内 核对 象 ( Kernel Object ) 都 拥有 一 个 引用 计数 (Reference Count ), 
代表 对 象 被 使 用 的 次 数 。 调 用 10 次 LoadLibrary(“a.dll”), a.dll 的 引用 计数 就 变 为 10, 
#p 3, a.dll 时 同样 需要 调用 10 次 Freelibrary() (每 调用 一 次 LoadLibrary()，3 引 用 计数 会 
加 1; 而 每 调用 一 次 Freelibrary()， 引 用 计数 会 减 I) AH, HR DLL 时 要 充分 考虑 
好 “引用 计数 ”这 个 因素 。 


24.2 ”实现 DLL EI 


EnaA M 
下 面 介 绍 的 源 代码 使 用 Microsoft Visual C++ Express 2010 编写 而 成 ,并 在 Windows 
XP/7 32 位 系统 中 通过 测试 。 





首先 分 析 一 下 EjectDll.exe 程 序 ， 它 用 来 从 目标 进程 ( notepad.exe ) 印 载 指定 的 DLL 文 件 
(myhack.dll, 已 注入 目标 进程 )， 程序 源 代码 ( EjectDll.cpp ) 如 下 所 示 。 


代码 24-1 EjectDll.cpp 


// EjectDll.exe 


#include “windows.h” 
#include “tlhelp32.h” 
#include “tchar.h” 


#define DEF PROC NAME (L"notepad.exe") 
#define DEF DLL NAME (L"myhack.dll") 
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DWORD FindProcessID(LPCTSTR szProcessName) 


t 


) 


DWORD dwPID = OxFFFFFFFF; 
HANDLE hSnapShot - INVALID HANDLE VALUE; 
PROCESSENTRY32 pe; 


// 获取 系统 快照 (SnapShot) 
pe.dwSize = sizeof( PROCESSENTRY32 ); 
hSnapShot = CreateToolhelp32Snapshot( TH32CS SNAPALL, NULL ); 


// 查找 进程 
Process32First(hSnapShot, &pe); 
do 
t 
if(!_tcsicmp(szProcessName, (LPCTSTR)pe.szExeFile)) 
t 
dwPID = pe.th32ProcessID; 
break; 
} 
h 


while(Process32Next(hSnapShot, &pe)); 
CloseHandle(hSnapShot); 


return dwPID; 


BOOL SetPrivilege(LPCTSTR lpszPrivilege, BOOL bEnablePrivilege) 


t 


TOKEN PRIVILEGES tp; 
HANDLE hToken; 
LUID luid; 


if( !OpenProcessToken(GetCurrentProcess(), 
TOKEN ADJUST PRIVILEGES | TOKEN QUERY, 


&hToken) ) 
1 
 tprintf(L"OpenProcessToken error: %uNn”, GetLastError()); 
return FALSE; 
) 
if( !LookupPrivilegeValue (NULL, // lookup privilege on local 
// system 
lpszPrivilege, // privilege to lookup 
&luid) ) // receives LUID of 
// privilege 
t 
_tprintf(L”LookupPrivilegeValue error: %u\n”, GetLastError() ); 
return FALSE; 
) 


tp.PrivilegeCount - 1; 
tp.Privileges[0].Luid - luid; 
if( bEnablePrivilege ) 
tp.Privileges[0].Attributes = SE PRIVILEGE ENABLED; 
else 
tp.Privileges[0].Attributes 


8; 


// Enable the privilege or disable all privileges. 
if( !AdjustTokenPrivileges(hToken, 
FALSE, 
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&tp, 

sizeof(TOKEN PRIVILEGES), 
(PTOKEN PRIVILEGES) NULL, 
(PDWORD) NULL) ) 


{ 
 tprintf(L"AdjustTokenPrivileges error: %u\n”, GetLastError() ); 
return FALSE; 
) 
if( GetLastError() == ERROR NOT ALL ASSIGNED ) 
1 
 tprintf(L"The token does not have the specified privilege. Nn"); 
return FALSE; 
} 
return TRUE; 
} 
BOOL EjectDll(DWORD dwPID, LPCTSTR szDllName) 
1 


BOOL bMore = FALSE, bFound = FALSE; 
HANDLE hSnapshot, hProcess, hThread; 
HMODULE hModule = NULL; 
MODULEENTRY32 me = { sizeof(me) }; 
LPTHREAD_START_ROUTINE pThreadProc; 


// dwPID-notepadt4zID 
// 使 用 TH32CS _SNAPMODULE 参 数 ， 获 取 加 载 到 notepad 进 程 的 DLL 名 称 
hSnapshot = CreateToolhelp32Snapshot(TH32CS SNAPMODULE, dwPID); 


bMore = Module32First(hSnapshot, &me); 
for( ; bMore ; bMore - Module32Next(hSnapshot, &me) ) 
1 
if( ! tcsicmp((LPCTSTR)me.szModule, szDllName) || 
! tcsicmp((LPCTSTR)me.szExePath, szDllName) ) 


{ 
bFound = TRUE; 
break; 
} 
} 
if( !bFound ) 
{ 
CloseHandle(hSnapshot); 
return FALSE; 
) 


if ( !(hProcess = OpenProcess(PROCESS ALL ACCESS, FALSE, dwPID)) ) 
1 
.tprintf(L"OpenProcess(*d) failed!!! [%d]\n”, dwPID, 
GetLastError()); 
return FALSE; 
^ 


hModule = GetModuleHandle(L"kernel32.dll"); 
pThreadProc = (LPTHREAD START ROUTINE)GetProcAddress (hModule, 
"FreeLibrary"); 
hThread = CreateRemoteThread(hProcess, NULL, 0, 
pThreadProc, me.modBaseAddr, 
0, NULL) ; 
WaitForSingleObject(hThread, INFINITE); 


CloseHandle(hThread); 


CloseHandle(hProcess); 
CloseHandle(hSnapshot); 


return TRUE; 
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 tprintf(L"There is no %s process!Nn”, DEF PROC NAME); 


 tprintf(L"PID of N”%sN” is %dNn”, DEF PROC NAME, dwPID); 


 tprintf(L"EjectDll(*d, N”%sN”) success!!!Xn", dwPID, DEF DLL 


 tprintf(L"EjectDll(&d, V"xsV") failed!!!Xn", dwPID, DEF DLL - 


} 
int _tmain(int argc, TCHAR* argv[]) 
t 
DWORD dwPID = OxFFFFFFFF; 
// 查找 process 
dwPID = FindProcessID(DEF PROC NAME); 
if( dwPID == OxFFFFFFFF ) 
1 
return 1; 
} 
// $ikprivilege 
if( !SetPrivilege(SE DEBUG NAME, TRUE) ) 
return 1; 
// eject dll 
if( EjectDll(dwPID, DEF DLL NAME) ) 
NAME) ; 
else 
NAME) ; 
return 0; 
} 


AETA, MRDLL REEE HRR d A cs šJ HFreeLibrary) API， 上 述 代 码 中 的 
EjectDIOK ROEM KHRDLLÁJ. FAMAT — F EjectDIIQ PRA. 


24.2.1 获取 进程 中 加 载 的 DLL 信息 
hSnapshot=CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,dwPID); 


fi: FH CreateToolhelp32Snapshot() API 可 以 获取 加 载 到 进程 的 模块 (DLL ) 信息 。 将 获取 的 
hSnapshot 句 柄 传递 给 Module32First()/Module32Next0 函 数 后 ， 即 可 设置 与 MODULEENTRY32 结 
构 体 相关 的 模块 信息 。 代 码 24-2 是 MODULEENTRY32 结 构 体 的 定义 。 


代码 24-2 ”MODULEENTRY32 结 构 体 


typedef struct tagMODULEENTRY32 


£ 
DWORD dwSize; 
DWORD th32ModuleID; 
DWORD th32ProcessID; 
DWORD — GlblcntUsage; 
DWORD ProccntUsage; 


BYTE * modBaseAddr; 


DWORD | modBaseSize; 


This module 

owning process 

Global usage count on the module 
Module usage count in th32ProcessID's 
context 

Base address of module in 
th32ProcessID's context 

Size in bytes of module starting at 
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// modBaseAddr 
HMODULE hModule; // The hModule of this module in 
// th32ProcessID's context 
char szModule [MAX MODULE NAME32 + 1]; 
char szExePath[MAX PATH]; 
) MODULEENTRY32; 出 处 : MSDN 


szModule 成 员 表 示 DLL 的 名 称 ，modBaseAddr 成 员 表 示 相 应 DLL 被 加 载 的 地 址 (进程 虚拟 内 
存 )。 在 EjectDll0) 函 数 的 for 循 环 中 比较 szModule 与 希望 秃 载 的 DLL 文 件 名 称 ， 能 够 准确 查找 到 相 
应 模块 的 信息 。 


24.2.2 ”获取 目标 进程 的 句柄 


hProcess-openProcess(PROCESS ALL ACCESS,FALSE,dwPID) ; 
该 语句 使 用 进程 ID 来 获取 目标 进程 (notepad ) 的 进程 句柄 (下面 用 获得 的 进程 句柄 调用 
CreateRemoteThread() API )。 


24.2.3 获取 FreeLibrary() API 地 址 


hModule=GetModuleHandle(L”kernel32.dll”); 

pThreadProc-(LPTHREAD START ROUTINE)GetProcAddress(hModule, "FreeLibrary"); 

若 要 驱使 notepad 进 程 自己 调用 FreeLibrary() API， 需 要 先 得 到 FreeLibrary0 的 地 址 。 然 而 上 述 
代码 获取 的 不 是 加 载 到 notepad.exe 进 程 中 的 Kernel32!FreeLibrary 地 址 ， 而 是 加 载 到 EjectDll.exe 进 
程 中 的 Kernel32!FreeLibrary 地 址 。 如 果 理 解 了 前 面 学 过 的 有 关 DLL 注 入 的 内 容 ， 那 么 各 位 应 该 能 
猜 出 其 中 缘由 一 一 FreeLibrary 地 址 在 所 有 进程 中 都 是 相同 的 。 


24.204 在 目标 进程 中 运行 线程 


hThread=CreateRemoteThread(hProcess,NULL,0,pThreadProc, 

me.modBaseAddr, 0,NULL); 

pThreadProc 2 Zi Je FreeLibrary() API 的 地 址 ，me.modBaseAddr 参 数 是 要 负载 的 DLL 的 加 载 地 
址 。 将 线程 函数 指定 为 FreeLibrary 函 数 ， 并 把 DLL 加 载 地 址 传递 给 线程 参数 ， 这 样 就 在 目标 进程 
中 成 功 调用 了 FreeLibrary() API ( CreateRemoteThread() API 原 意 是 在 外 部 进程 调用 执行 线程 函数 ， 
只 不 过 这 里 的 线程 函数 换 成 了 FreeLibrary0O 函 数 )。 


BOOL WINAPI FreeLibrary( 
HMODULE hLibModule 
J; 出 处 : MSDN 


ThreadProc 了 晴 数 与 FreeLibrary 哨 数 都 只 有 1 个 参数 ， 以 上 方法 的 灵感 即 源 于 此 。 
24.3 DLL EI 
A — uW 2k2J, of myhack.dllzE Anotepad.exetfz, MEn AKER. 


24.3.1 复制 文件 及 运行 notepad.exe 
首先 ， 复制 下 面 3 个 文件 到 工作 文件 p 夹 ( ci\work )， 如 图 24-1 所 示 。 
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》 计算 机 » SBE (C) » work 
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图 24-1 复制 文件 到 工作 文件 夹 





然后 ， 运 行 notepad.exe 并 查看 其 PID， 如 图 24-2 所 示 。 





| Process PID CPU Description 
Ë EJ System Idle Process 0 S385 
[ii esrss.exe 344 
& m} wininit,exe 380 Windows | 
[aj csrss.exe 392 Client Server Runti(- 
winlogon.exe Windows 





EBiJpotepaq exe 


> 
| Name Description 


ADV AP132.dll Windows 32 API 
COM* Configuration Catalog 
User Experience Controls Lib,,, 
Common Dialogs DLL 
— Base cryptographic API DLL 
dwmapi.dll Microsoft 
|GDI32.dll GDI Client DLL 
limetip,dIl Microsoft IME 
imjkapi,dll Microsoft IME 
Jimkrapi,dll Microsoft& Korean IME 
| I 








| CPU Usage: 6.1595 


cuum 





图 24-2 Process Explorer 


我 的 电脑 环境 中 ，notepad.exe 的 PID 为 2832。 


24.3.2 注入 myhack.dll 


打开 命令 行 窗口 (cmd.exe ), 输入 如 下 参数 , 将 myhack.dll 文 件 注 人 notepad.exe 进 程 , 如 图 24-3 
所 示 。 


222 €$ 243 DLL #p 33%, 








m 管理 员 : C\Windows\System32\cmd.exe LE | 


tD11._exe 
2 

















图 24-3 ”运行 InjectDLL.exe 


可 以 在 Process Explorer 中 看 到 myhack.dll 注 和 成 功 ， 如 图 24-4 所 示 。 


E 





2 Process Explorer - Sysinternals: www.sysintern... |-5-.]|-C)- lese] 
File Options View Process Find DLL Users Help 


Ho =m m mx ao ME 
































| Process PID CPU Description š 
| i a 3 wininit.exe 380 Windows | 
| Ei m jcsrss.exe 392 Client Server Ru 
| 
1 gy conhostexe 3812 
| winlogon,exe 432 windows 
= “4 explorer,exe | 1460 Windows E| 
| x exp ; | 
| 
| | 
| | 
nn s Hn : ] 
| Name , Description Comi 4] 
1 | 
MSASNT,dil ASN,1 Runtime APIs Micro 
| MSCTF. dll MSCTF Server DLL Micro 
jmsctf.dll,mui MSCTF Server DLL Micro 
|mswcrt,dll Windows NT CRT DLL Micro| | 
mswsock.dll Microsoft Windows 2.0 7?,, Micro | 
Imyhack,dil 
[napinsp.dll Micro 
| NLAapi.dll Network Location Awareness 2 Micro 
|Normaliz,dll Unicode Normalization DLL Micro -| 
|notepad.exe Micro| =i 
l4 HI h 
CPU Usage: 8.70% Commit Charge: 29.11% Processes: 34 Pl 
— | 








图 24-4 注入 成 功 


24.3.3 #U#& myhack.dll 


打开 命令 行 窗口 (cmd.exe ), 输入 如 下 参数 , 将 注入 notepad.exe 进 程 的 myhack.dll 文 件 印 载 下 
来 ， 如 图 24-5 所 示 。 
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gS 管理 员 : C\Windows\System32\cmd.exe : mm EN 

















图 24-5 ”运行 EjectDLL .exe 


请 使 用 Process Explorer 查 看 是 否 成 功 秃 载 。DLL 种 载 的 基本 原理 与 DLL 注 人 的 原理 相同 ， 理 
解 起 来 非常 容易 。 请 各 位 认真 阅读 上 面 的 内 容 并 亲自 操作 。 


NA 


Q. 使 用 FreeLibrary() 和 卸载 DLL 的 方法 好 像 仅 适用 于 使 用 CreateRemoteThread() 注 入 的 DLL 


文件 ， 有 没有 什么 方法 可 以 将 加 载 的 普通 DLL 文件 卸载 下 来 呢 ? 
A. 正如 您 所 说 , 使 用 FreeLibrary() 的 方法 仅 适 用 于 镍 载 自己 强制 注入 的 DLL 文 件 。 PE 文件 直 
接 导 入 的 DLL 文 件 是 无 法 在 进程 运行 过 程 中 钙 载 的 。 
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除了 前 面 讲 过 的 DLL 动 态 注入 技 术 外 ,还 可 以 采用 “手工 修改 可 执行 文件 ”的 方式 加 载 用 户 
指定 的 DLL 文 件 , 本 章 将 向 各 位 介绍 这 种 方法 。 学 习 这 种 技术 前 ,首先 要 掌握 有 关 PE 文 件 格 式 的 
知识 。 

前 面 我 们 学 过 向 “运行 中 的 进程 ”强制 注入 指 定 DLL 文 件 的 方法 。 下 面 我 们 将 换 用 男 外 一 种 
方法 ,通过 “直接 修改 目标 程序 的 可 执行 文件 ”"， 使 其 运行 时 强制 加 载 指 定 的 DLL 文 件 。 这 种 方 
法 只 要 应 用 过 一 次 后 〈 不 需要 另外 的 注入 操作 )， 每 当 进程 开始 运行 时 就 会 自动 加 载 指定 的 DLL 
文件 。 其 实 ， 这 是 一 种 破解 的 方法 。 


25.1 练习 文件 


本 节 将 做 个 简单 练习 以 帮助 大 家 更 好 地 理解 要 学 习 的 内 容 。 我 们 的 目标 是 ， 直 接 修改 
TextView.exe 文 件 ， 使 其 在 运行 时 自动 加 载 myhack3.dll 文 件 ( 这 需要 各 位 事先 掌握 修改 PE 文件 头 
的 相关 知识 与 技术 )。 


25.1.1 TextView.exe 


TextView.exe 是 一 个 非常 简单 的 文本 查看 程序 , 只 要 用 鼠标 将 要 查看 的 文本 文件 ( myhack3.cpp ) 
Hiz (Drop) 到 其 中 ， 即 可 通过 它 查看 文本 文件 的 内 容 ， 如 图 25-1 所 示 。 


jew (Cwworkwmyhackacpp) P — polak] 
uade 








L* 
L"in 
fdefine DEF PROC CLASS NAME L"Notepad" 


HWND g nWnd = NULL; 
wg 


// IDT dummy export function.. 


| 

| 
ifdef cpluspius i 
— t | 
. .Seclspec(dllexport) void dummy() | 
t 


ifdef — cplusplus 


endif 

















"m. 


: — - — — a 











图 25-1 TextView.exe 运 行 界面 


各 位 可 将 任意 一 个 文本 文件 拖 人 其 中 测试 。 接 下 来 ， 使 用 PEView 工 具 查 看 TextView.exe 可 执 
行文 件 的 IDT ( Import Directory Table， 导 入 目录 表 )。 


25.1 练习 文件 
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从 图 25-2 中 可 以 看 到 ，TextView.exe 中 直接 导入 的 DLL 文 件 为 KERNEL32.dll、USER32.dll、 
GDI32.dll、SHELL32.dll, 














GB TextView.exe 


- IMAGE_DOS_HEADER 
i MS-DOS Stub Program 
ij IMAGE NT HEADERS 
IMAGE SECTION HEADER . 
IMAGE SECTION HEADER . 
- IMAGE SECTION HEADER . 
IMAGE SECTION HEADER . 
|-SECTION .text 
Gi SECTION .rdata 
IMPORT Address Table 
IMAGE DEBUG DIRECTORY 
m DEBUG TYPE CODEVIEH 
T 7 : 
| |- IMPORT Name Table 
| |- IMPORT Hints/Names & DLL Nal 
L SECTION .data 
d SECTION .rsrc 


00060853C Import Name Table RVA 
000090000 Time Date Stamp 
90000000 Forwarder Chain 
666858C Name RVA 

09000600C Address Table RVA 
00008638 Import Name Table RVA 
886666666 Time Date Stamp 
00000000 Forwarder Chain 
9000B7EA Name RVA 

90006108 Import Address Table RVA 
90008530 Import Name Table RVA 
360666666 Time Date Stamp 
09000000 Forwarder Chain 

00008816 Name RVA [ 
00906000 Address Table RVA 
@000862C Import Name Table RVA 
60000000 Time Date Stamp 
90666666 Forwarder Chain 

00008844 Mame RVA 

90006eFC Address Table RVA 


K(ERNEL32.d11] | 




















图 25-2 PEView: TextView.exe 的 IDT 


25.1.2 TextView patched.exe 


TextView_patched.exe 是 修改 TextView.exe 文 件 的 IDT 后 得 到 的 文件 ， 即 在 IDT 中 添加 了 导入 
， 运 行 时 会 自动 导入 myhakc3.dll 文 件 。 使 用 PEView 工 具 查 看 TextView_ 


myhack3.dll 的 部 分 
patched.exe 的 IDT， 




















如 图 25-3 所 示 。 


Go Me 








|"C5|lo0000|«m 





B TextView Patched.exe i ava 
IMAGE DOS HEADER 
MS-DOS Stub Program 

if-IMAGE NT HEADERS 
IMAGE SECTION HEADER . 
IMAGE SECTION HEADER .rdata 













Data Description Value 
09008653C Import Name Table RVA 

80000008 Time Date Stamp d 
B0000000 Forwarder Chain | 
9000B5BC Name RVA KERNEL32.d11 | 
eeeeceec Import Address Table RVA 









IMAGE SECTION HEADER . 
IMAGE SECTION HEADER . 
- SECTION .text 
ij SECTION .rdata 
i IMPORT Address Table 
IMAGE DEBUG DIRECTORY | 
IMAGE DEBUG TYPE CODEVIEW 
IMPORT Name Table 



















60008638 Import Name Table RVA | 
60000000 Time Date Stamp 1] 
88866966 Forwarder Chain 
900087EA Name RVA 
00006108 Import Address Table RVA 
60008530 Import Name Table RVA 
eeeeeecee Time Date Stamp 
60000008 Forwarder Chain 
@2@9@8816 Name RVA 
eeeeceeo Import Address Table RVA 


USER32.dll 





6GD132.dll 













SECTION .data 
E SECTION .rsrc 









06000862C Import Name Table RVA 
00000000 Time Date Stamp 
eeeeeeee Forwarder Chain 

90008844 Name RVA 

ort Address Table RVA 

Import Name Table RA — 

00000000 Time Date Stamp 

@@00@09@0@ Forwarder Chain 


SHELL32.d1l 





















myhack3.dll 

















图 25-3 PEView: TextView Patched.exeff]IDT 
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从 图 25-3 可 以 看 到 , IDT 中 除了 原来 的 4 个 DLL 文件 外 , 还 新 增 了 一 个 myhack3.dll 文 件 。 这 样 ， 
运行 TextView_Patched.exe 文 件 时 程序 就 会 自动 加 载 myhack3.dll 文 件 。 下 面 运 行 TextView_ 
Patched.exe 看 看 是 否 如 此 。 

运行 程序 并 稍 等 片刻 ， 指 定 的 index.html 文 件 会 被 下 载 到 工作 目录 ， 同 时 ， 文 本 查看 程序 会 
自动 将 其 打开 ， 如 图 25-4 所 示 ( 运行 程序 后 会 自动 加 载 myhack3.dll， 尝 试 连接 Google 网 站 ,下 载 
网 站 的 index.html 文 件 ， 并 将 其 拖 放 到 TextView_Patched.exe 程 序 )。 进 入 工作 目录 , 使 用 网 络 浏览 
器 打开 下 载 的 index.html 文 件 ， 如 图 25-5 所 示 。 











fx i T 
Ë Textview (Caéworkdeinde: 





; charset-EUC-EKR"»iS 
!||k-function(a,b)ii[al]l-it:(starr: (new Date).getTime()),bfr:!'(!b)]);win 
r a- gjwl.href.substring(es):;if (a.indexOf ("&q-")250j ja.indexOf( "iq-")» 





ilRÉgogipadding:3px 8px O)tdiline-height:.B8em) .gac m td(2ine-height:1 
:#00c !'important)body(background:f$fff;color:black)inputí-moz-box-siz 
nt.gbqf&&document.gbqf.q.focus():iíf(document.images)new Image().src-i 
||kr/ig&3Fhlt3Dko&26source$3Diglk&usg-AFQjCNF3pMpDWm98LTqS fxrpq8 LwuLpE 
:$px O0"»«div style-"posirion:relative;zoom:i"»cinput autocomplece-of B 
"»br»«/div»«div id-res»«/div»«span id-footer»«center id-fctr»«div sj 
j|f(googie.timers&&google.timers.ioad.t)ígoogle.timers.lcad.t. xisis-nei 


load",c,false);a.removeEventlistener("error",c,false)jeise(a.detachE| | 
ction 1()(if(!google.tcimers.load.t)return;google.timers.load.t.ol=(ni I 





- 5 — ë: s l 




















== =a 





图 25-4 ”TextView_Patched.exe 运 行 界面 










j © Google I x 
| € - Q ñ Q file//C/work/indexhtml 








ie 


TT UE a 


Google com hk PATIESS: xm (RE? Engish 


BERKE 
t 





















J 





图 25-5 ”使 用 网 络 浏览 器 打开 index.html 文 件 
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从 图 25-5 中 可 以 看 到 ， 下 载 的 的 确 是 谷歌 的 ndex.html 文 件 。 
提示 

系统 环境 不 同 ( 网 络 、 防 火 墙 策略 、 安 全 /管理 程序 等 )， 可 能 导致 ndex.html 文件 无 
法 下 载 。 若 正常 运行 仍 无 法 成 功 下 载 index.html 文件 , 建议 更 换 不 同 的 系统 环境 再 次 测试 。 





25.2 源 代 码 - myhack3.cpp 


本 节 将 分 析 myhack3.dl! 的 源 代码 ( myhack3.cpp )。 
提示 一 一 
所 有 源 代码 均 使 用 MS Visual C++ 2010 Express Edition 编写 而 成 ,在 Windows XP/7 
32 位 环境 中 通过 测试 。 





25.2.1 DilMain() 


#include “stdio.h” 
#include “windows.h” 
#include “shlobj.h” 
#include “Wininet.h” 
#include “tchar.h” 


#pragma comment(lib, “Wininet.lib”) 


#define DEF BUF SIZE (4096) 
sdefine DEF URL L"http://www.google.com/index.html" 
#define DEF INDEX FILE L"index.html" 
DWORD WINAPI ThreadProc(LPVOID lParam) 
1 
TCHAR szPath[MAX PATH] = {9,}; 
TCHAR *p = NULL; 
GetModuleFileName(NULL, szPath, sizeof(szPath)); 
if( p = tcsrchr(szPath, L'NN') ) 
 tcscpy s(p*1, wcslen(DEF INDEX FILE)+1, DEF INDEX FILE); 
if( DownloadURL(DEF URL, szPath) ) 
1 
DropFile(szPath); 
} 
} 
return 0; 
} 


BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID 
lpvReserved) 
{ 
switch( fdwReason ) 
t 
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case DLL PROCESS ATTACH : 
CloseHandle(CreateThread(NULL, 0, ThreadProc, NULL, 0, NULL)); 


break; 
} 


return TRUE; 


DIlIMain() 函 数 的 功能 非常 简单 ， 创 建 线程 运行 指定 的 线程 过 程 ， 在 线程 过 程 ( ThreadProc ) 
中 调用 DownloadURL() 与 DropFile(0) 函 数 , 下 载 指 定 的 网 页 并 将 其 拖 放 到 文本 查看 程序 。 下 面 分 别 
详细 查看 这 2 个 函数 。 


25.2.2 DownloadURL() 














m Be gadu 
BOOL DownloadURL(LPCTSTR szURL, LPCTSTR szFile) 
{ 
BOOL bRet = FALSE; 
HINTERNET hInternet = NULL, hURL = NULL; 
BYTE pBuf[DEF BUF SIZE] = {0,}; 
DWORD dwBytesRead - 0; 
FILE *pFile = NULL; 
errno t err = 0; 


hlInternet = InternetOpen(L"ReverseCore", 
INTERNET OPEN TYPE PRECONFIG, 


NULL, 
NULL, 
9); 
if( NULL == hInternet ) 
{ 
OutputDebugString(L"InternetOpen() failed!"); 
return FALSE; 
] 
hURL = InternetOpenUrl(hInternet, 
szURL, 
NULL, 
9, 
INTERNET FLAG RELOAD, 
0); 
if( NULL == hÜRL ) 
í 
OutputDebugString(L"InternetOpenUrl() failed!"); 
goto DownloadURL EXIT; 
} 
if( err = tfopen s(&pFile, szFile, L"wt") ) 
1 
OutputDebugString(L"fopen() failed!"); 
goto  DownloadURL EXIT; 
} 
while( InternetReadFile(hURL, pBuf, DEF BUF SIZE, &dwBytesRead) ) 
t 


if( !dwBytesRead ) 
break; 


fwrite(pBuf, dwBytesRead, 1, pFile); 
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5 
bRet = TRUE; 


 DownloadURL EXIT: 
if( pFile ) 
fclose(pFile); 


if( hURL ) 
InternetCloseHandle(hURL); 


if( hInternet ) 
InternetCloseHandle(hInternet); 


return bRet; 


DownloadURLO 函 数 会 下 载 参数 szURL 中 指定 的 网 页 文件 ,并 将 其 保存 到 szFile 目 录 。 示 例 中 ， 
该 函数 用 来 连接 谷歌 网 站 (www.google.com )， 并 下 载 网 站 的 index.html 文 件 。 
提示 
实际 上 , 上 述 示例 中 的 DownloadURL( :&ZC X f$ Jf] InternetOpen(). InternetOpenUrl() , 
InternetReadFile() API 对 URLDownloadToFile() API 的 简单 实现 。JInternetOpen()、 
InternetOpenUrl(), InternetReadFile() API 35 Æ wininet.dll 中 提供 , 而 URLDownloadToFile() 
API Æ urlmon.dll 中 提供 。 





25.2.3 DropFile() 


代码 25-3 DropFile() 
BOOL CALLBACK EnumWindowsProc(HWND hWnd, LPARAM lParam) 


1 
DWORD dwPID - 0; 
GetWindowThreadProcessId(hWnd, &dwPID); 
if( dwPID == (DWORD)lParam ) 
1 š 
g_hwnd = hwnd; 
return FALSE; 
} 
return TRUE; 
} 
HWND GetWindowHandleFromPID(DWORD dwPID) 
{ 
EnumWindows (EnumWindowsProc, dwPID); 
return g hWnd; 
} 
BOOL DropFile(LPCTSTR wcsFile) 
{ 
HWND hwnd = NULL; 
DWORD dwBufSize = 0; 


BYTE *pBuf = NULL; 
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DROPFILES *pDrop = NULL; 
char szFile[MAX PATH] = {0,}; 
HANDLE hMem = 0; 


wWideCharToMultiByte(CP_ACP, 0, wcsFile, -1, 
szFile, MAX PATH, NULL, NULL); 


dwBufSize = sizeof(DROPFILES) + strlen(szFile) + 1; 


if( !(hMem = GlobalAlloc(GMEM ZEROINIT, dwBufSize)) ) 


t 
OutputDebugString(L"GlobalAlloc() failed!!!"); 
return FALSE; 

} 


pBuf = (LPBYTE)GlobalLock(hMem); 


pDrop = (DROPFILES*)pBuf; 
pDrop->pFiles = sizeof(DROPFILES); 
strcpy_s((char*)(pBuf + sizeof(DROPFILES)), strlen(szFile)+1, szFile); 


GlobalUnlock(hMem); 
if( !(hwnd = GetWindowHandleFromPID(GetCurrentProcessId())) ) 


OutputDebugString(L"GetWndHandleFromPID() failed!!!"); 
return FALSE; 
} 


PostMessage(hWnd, WM DROPFILES, (WPARAM)pBuf, NULL); 


return TRUE; 


DropFile(O) 函 数 将 下 载 的 index.html 文 件 拖 放 到 TextView_Patch.exe 进 程 并 显示 其 内 容 。 为 
此 ， 需 要 先 获 取 TextView_Patch.exe 进 程 的 主 窗口 句柄 ， 青 传送 WM_DROPFILES 消 息 。 总 之 ,，D 
ropFile0 函 数 的 主要 功能 是 ， 使 用 PID 获 取 窗 口 句柄 ， 再 调用 postMessage(WM_DROPFILES) 
API 将 消息 放 入 消息 队列 ( 此 处 省 略 有 关 API 的 详细 说 明 ) 。 

25.2.4 dummy() 

在 myhack3.cpp 源 代码 中 还 要 注意 dummy0 这 个 函数 。 
代码 25-4 dummy0 、 — 
#ifdef _ cplusplus 
extern "C" í 
#endif 
// 出 现在 IDT 中 的 dump export function... 


|. declspec(dllexport) void dummy() 
1 





return; 
} 
#ifdef _ cplusplus 


#endif 


dummy() 函 数 是 myhack3.dll 文 件 向 外 部 提供 服务 的 导出 函数 , 但 正如 所 见 , 它 没 有 任何 功能 。 
既然 如 此 , 为 何 还 要 将 其 导出 呢 ? 这 是 为 了 保持 形式 上 的 完整 性 , 使 myhack3.dll 能 够 顺利 添加 到 
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TextView.exe 文 件 的 导入 表 。 

在 PE 文件 中 导入 某 个 DLL， 实 质 就 是 在 文件 代码 内 调用 该 DLL 提供 的 导出 函数 。PE 文 件 头 
中 记录 着 DLL 名 称 、 函 数 名 称 等 信息 。 因 此 ，myhack3.dll 至 少 要 向 外 提供 1 个 以 上 的 导出 函数 才 
能 保持 形式 上 的 完整 性 。 

一 般 而 言 ， 向 导入 表 中 添加 DLL 是 由 程序 的 构建 工具 ( VC++、VB、Delphi 等 ) 完成 的 , 但 
下 面 我 们 将 直接 使 用 PE Viewer 与 Hex Editor 两 个 工具 修改 TextView.exe 的 导入 表 , 以 便 更 好 地 学 习 


代码 逆向 分 析 知 识 。 
25.3 ”修改 TextView.exe 文件 的 准备 工作 


25.8.4 修改 思 


如 前 所 见 ，PE 文 件 中 导入 的 DLL 信 息 以 结构 体 列表 形式 存储 在 IDT 中 。 只 要 将 myhack3.dll 添 
加 到 列表 尾部 就 可 以 了 。 当 然 ， 此 前 要 确认 一 下 IDT 中 有 无 足够 空间 。 


25.3.2 EA IDT 是 否 有 足够 空间 


首先 , 使 用 PEView 查 看 TextView.exe 的 IDT 地 址 Mica E OPTIONAL HEADER 
结构 体 中 导入 表 RVA 值 即 为 IDT 的 RVA )。 

从 图 25-6 可 知 ，IDT 的 地 址 (RVA ) 为 84CC。 接 下 来 ,在 PEView 中 直接 查看 IDT ( 在 PEView 
工具 栏 中 设置 地 址 视图 选项 为 RVA )。 











Textview.exe Data Description 

i- IMAGE DOS HEADER 00000149 00108000 Size of Stack Reserve 
j| -ws-pos stub Program 90800144 86861888 Size of Stack Commit 
|| IMAGE NT HEADERS 90200148 00100000 Size of Heap Reserve 

Í Ë= Signature 
| i- IMAGE FILE HEADER 


Ë 

|| ` IMAGE SECTION HEADER . qt 
į- IMAGE SECTION HEADER . === =|| 

| :… IMAGE SECTION HEADER . 


.text 
.rdata 


|: 
|| i. IMAGE SECTION HEADER . | 
.data | 





CERTIFICATE Tab | 
-i 














[Veung IMAGE OPTIONAL HEADER i5 
图 25-6 PEView: IMAGE OPTIONAL _ HEADER 中 IDT 的 RVA 值 


从 图 中 可 以 看 到 ，TextView.exe 的 IDT 存 在 于 .rdata 节 区 。 我 们 在 前 面 学 过 PE 文件 头 的 知识 ， 
知道 IDT 是 由 IMAGE IMPORT DESCRIPTOR ( 以 下 称 IID ) 结构 体 组 成 的 数组 ， 且 数组 末尾 以 
NULL 结 构 体 结束 。 由 于 每 个 导入 的 DLL 文件 都 对 应 1 个 IID 结 构 体 ( 每 个 ID 结构 体 的 大 小 为 14 个 
字 节 )， 所 以 图 25-7 中 整个 ID 区 域 为 RVA: 84CC~852F (整体 大 小 为 14*5=64 )。 

















Data Description 
066853C Import Name Table RVA 
98666666 Time Date Stamp 
900008404 Ge000000 Forwarder Chain 
||eeees4DS 68688686BC Name RVA KERNEL32.dll 
||eeoesapc eeeeseec rt Address Table RVA 
||eeees4te 00005638 Import Name Table RVA 
||eeeosata G0000808 Time Date Stamp 
j|eeeesaES @0@90@@@@ Forwarder Chain 
[ isi OR i iE eid | 886984EC O00087EA Name RVA USER32.d11 
i wP j|eeees4re @90@96108 Import Address Table RVA | 
IMAGE SECTION HEADER .rsrc ^ ||eeee84F4 00008530 Import Name Table RVA i 
SECTION" -téxt ||eeeesars eeeeeeee Time Date Stamp | 
E SECTION .rdata i h 
IMPORT Address Table | 
IMAGE DEBUG DIRECTORY 
|- IMAGE DEBUG TYPE CODEVIEW 
| ORT D : 
: IMPORT Name Table i 
L. IMPORT Hints/Names & DLL Na: 
— SECTION .data | 
ü) SECTION .rsrc 







|| g TextView.exe 
IMAGE DOS HEADER 
MS-DOS Stub Program 
C IMAGE NT HEADERS 
Signature 
IMAGE FILE HEADER 
l~ IMAGE OPTIONAL HEADER 
IMAGE SECTION HEADER .text 





























ijeeeesarC Ooeooeoee Forwarder Chain 
i|eeeessee oeee8816 Name RVA GDI32.dll 

| eeee8564 eeeeceee Import Address Table RVA 

i|eeeesses 98068852C Import Name Table RVA 

0000858C 60000000 Time Date Stamp 

00008510 00000000 Forwarder Chain 

60008514 600008844 Name RVA SHELL32.d1l 
eeeeserc t Address Table RVA 























图 25-7 PEView: IDT 


ID 结构 体 的 定义 


IMAGE IMPORT DESCRIPTOR 
typedef struct IMAGE IMPORT DESCRIPTOR { 
union í 
DWORD Characteristics; 
DWORD  OriginalFirstThunk; // RVA to INT(Import Name Table) 
1; 
DWORD TimeDateStamp; 


DWORD ForwarderChain; 
DWORD Name; // RVA to DLL Name String 


DWORD JFirstThunk; // RVA to IAT(Import Address Table) 
) IMAGE IMPORT DESCRIPTOR; 


在 PEView 工 具 栏 中 将 视图 改 为 File Offset， 可 以 看 到 IDT 的 文件 偏 移 为 75CC， 如 图 25-8 所 示 。 
























Data Description 
9006853C Import Name Table RVA 

7600 00000000 Time Date Stamp 

000076D4 00000000 Forwarder Chain 

00007608 O000086BC Name RVA KERNEL32.d11 
eeeeceec Import Address Table RVA 


Eli TextView.exe 
,«IMAGE DOS HEADER 
MS-DOS Stub Program 
E IMAGE NT HEADERS 

l- Signature 
Í.. IMAGE FILE HEADER 


















图 25-8 PEView: Import Directory Table(File Offset) 


使 用 HxD 实 用 工具 打开 TextView.exe 文 件 ， 找 到 76CC 地 址 处 ， 如 图 25-9 所 示 。 
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M s 25. 


grupo 








Offset(h) ee ei e2 03 64 es ec 67 38 099 BA eB ec ep er er 
00007698 FE FF FF FF 00 00 00 00 CC FF FF FF 00 00 00 O0 byyy....1yyy.... 
000076A8 FE FF FF FF aa yyy.... 
@@@076B@ FE FF FF FF 
|| eeee7ece FE FF FF FF 
|| 00907608 ee 
|| eeoe76te 86 
|| eeee7ere 61 
|| 0eeez7ee 16 38 
| 00007710 ba ee 
9e 
6 





















| 00007720 þa pe go go eo oo 09 op O0 00 oa O0 có oc o0 od PS > 
|| 00807738 F 
| 00807743 3A 
00007750 F4 
| 00097760 ce 






ōt..žt..0t. En. 
Ac.. 76. HL Et 


EELO € QE 
888382888323883 
"2338888338888 
FAN eR 
8553582225512 





















EHG T AE 





图 25-9 HxD: Import Directory Table 


IDT 的 文件 偏 移 为 76CC~772F ,整个 大 小 为 64 字 节 , 共 有 5 个 IID 结 构 体 ,其 中 最 后 一 个 为 NULL 
结构 体 。 从 图 中 可 以 看 出 IDT 尾 部 存在 其 他 数据 ， 没 有 足够 空间 来 添加 myhack3.dll 的 ID 结构 体 。 


25.3.3 ”移动 IDT 
在 这 种 情形 下 , 我 们 要 先 把 整个 IDT 转 移 到 其 他 更 广阔 的 位 置 ， 然 后 再 添加 新 的 ID。 确 定 移 


动 的 目标 位 置 时 ， 可 以 使 用 下 面 三 种 方式 : 


口 查找 文件 中 的 空白 区 域 ; 
口 增加 文件 最 后 一 个 节 区 的 大 小 ; 
口 在 文件 末尾 添加 新 节 区 。 


首先 尝试 第 一 种 方法 , 即 查找 文件 中 的 空白 区 域 ( 程序 


== 2: 


运行 


时 未 使 用 的 区 域 ), 正 如 在 图 25-10 


中 看 到 的 一 样 ，.rdata 节 区 尾部 恰好 存在 大 片 空白 区 域 ( 一 般 说 来 ， 节 区 或 文件 未 尾 都 存在 空白 


区 域 ，PE 文 件 中 这 种 空白 区 域 称 为 Null-Padding 区 域 )。 


2 o oo els ml[ 








Ej TextView.exe 
IMAGE DOS HEADER 
MS-DOS Stub Program 
Ij-IMAGE NT HEADERS 
| Signature 
IMAGE FILE HEADER 
IMAGE OPTIONAL, HEADER 
| IMAGE SECTION HEADER .text 
| 1MAGE SECTION HEADER .rdata 
| IMAGE SECTION HEADER .data 
IMAGE SECTION HEADER .rsrc 





| i$ SECTION .rsrc 





| 
| 





| Viewing SECTION 1data 





6668C66 ee O0 GO OO G0 GO o0 99 
G6e088C70 00 O00 6e 20 00 96 00 @@ 
0eeeoscase ee GG 00 O0 Ge GO OP 00 
eeoescoe GG 00 ee o0 o0 00 O0 OO 
||eeeescae eo eo ee oe eo ee oe 9 
|[eeeescse ee ee ee oe eo oe ee oe 
eeooBcce eo oo oe o0 0G GO O0 90 
G8eeescDe eo eO 96 O0 O0 GÖ o0 00 
eeeoscro 00 Ge ee o6 00 GA 0G 9 
eeeoscre ee o0 00 OQ eo ee ob DO 
00008000 00 O0 Ge G 60 0A 00 0G 
ee008D10 00 00 GG GG 00 O0 00 00 





Raw Data 






ee ee ee ee 00 GO Go ee 
ee eo o8 Go oe ee o0 00 
00 09 ee o0 00 00 09 eo 
ee eo 00 2G 00 eo o0 00 
9e ee ee eo o0 80 oe oo 
ee oe eo o8 80 0G 00 ee 
6e eo o0 G0 00 ee ee oo 
9e ee ee oo 00 G0 00 co 
ee o0 00 0G ee ee oo oa 
90 ee oe eo 00 20 eoo oo 
9e oo 00 Ge oo oo o6 o0 
0e oo 90 eo 6e eo oo oo 
9e oe oe eo 00 00 O0 ee 
ee eo oe ee ee ee oo o0 
90 oe oe eo 00 00 00 oe 
ee eo 00 G9 99 ee oo ea 
6e oo oo oo 60 ee G0 oo 
9e ee oe eo 00 o0 00 9 
9e oo 00 eo ee ee eo o0 
9e ee ee eo o0 G0 00 ee 
ee eo 00 O0 09 ee oe o0 
G0 ee eo oo 00 ee oo oo 
9e eo o0 00 99 oo oe ee 
ee oo oe oe 00 ee 80 00 


90 ee ee oe 00 00 00 00  — 














图 25-10  PEView: .rdata 节 区 尾部 的 Null-Padding 区 域 
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接 下 来 ， 把 原 IDT 移 动 到 该 Null-Padding 区 域 ( RVA: 8C60-8DFF ) 中 合适 位 置 就 行 了 。 在 此 
之 前 ， 先 要 确认 一 下 该 区 域 ( RVA: 8C60-8DFF ) 是 否 全 是 空白 可 用 区 域 (Null-Padding 区 域 )。 
请 注意 ， 并 不 是 文件 中 的 所 有 区 域 都 会 被 无 条 件 加 载 到 进程 的 虚拟 内 存 ， 只 有 节 区 头 中 明确 记 
录 的 区 域 才 会 被 加 载 。 使 用 PEView 工 具 查看 TextView.exe 文 件 的 .rdata 节 区 头 ， 如 图 25-11 所 示 。 

































ə— BS- TextView.exe RVA Data Description Value 
;-IMAGE DOS HEADER 00000200 2E 72 64 61 Name .rdata 

|| -MS-DOS Stub Program "A — | 

i hi AGE Mt HEADERS I ——ÉáIT "1 | 
i Lsignature RVA | 


I f IMAGE FILE HEADER Size of Raw Data 


i i. IMAGE OPTIONAL HEADER 
^. IMAGE SECTION HEADER .text 





00000621C — 00000000 Pointer to Line Numbers 





BiiMaGE SECTION HEADER .rdata " 

I E SECTION HEADER dat 00000226 eooQ Number of Relocations 
f IMAGE : z 一 SUBEN 090000222 eooQ Number of Line Numbers 
i= IMAGE SECTION HEADER .rsrc 00000224 40000040 Characteristics 


«SECTION „text 
&). SECTION .rdata 
i. SECTION .data 








E & SECTION .rsrc * Laut ios deco os 
| Viewing IMAGE SECTION HEADER .rdata 
[ Ment omar 


ra : Cd m s sa b. 
m E ` 











图 25-11  TextView.exe X FIfJ.rdata 15 [X 3 


节 区 头 中 存储 着 对 应 节 区 的 位 置 、 大 小 、 属 性 等 信息 。 参 照 图 25-11， 整 理 .rdata 节 区 头 中 信 


息 如 表 25-1。 
表 25-1 .rdata 节 区 头 信息 








条 目 值 "S 
Pointer to Raw Data 5200 [文件 ] 节 区 起 始 位 置 
Size of Raw Data 2bE00 [文件 ] 节 区 大 小 
RVA 6000 [内 存 ] 节 区 起 始 位 置 
Virtual Size 2C56 [内 存 ] 节 区 大 小 


从 节 区 头 中 信息 可 以 看 出 ，.rdata 节 区 在 磁盘 文件 与 内 存 中 的 大 小 是 不 同 的 。 

.rdata 节 区 在 磁盘 文件 中 的 大 小 为 2E00， 而 文件 执行 后 被 加 载 到 内 存 时 ， 程 序 实 际 使 用 的 数 
据 大 小 ( 映射 大 小 ) 仅 为 2C56， 剩 余 未 被 使 用 的 区 域 大 小 为 1AA ( 2E00-2C56 )。 在 这 段 空 白 区 
域 创 建 IDT 是 不 会 有 什么 问题 的 。 

提示 

PE 文件 尾部 有 些 部 分 填充 着 NULL， 但 这 并 不 意味 着 这 些 部 分 一 定 就 是 

Null-Padding 区 域 ( 空白 可 用 区 域 )。 这 些 区 域 也 有 可 能 是 程序 使 用 的 区 域 ， 且 并 非 所 

有 Null-Padding 区 域 都 会 加 载 到 内 存 。 只 有 分 析 节 区 头 信息 后 才能 判断 。 如 果 示 例 中 

TextView.exe 的 Null-Padding 区 域 很 小 ,无 法 容纳 IDT， 那 么 就 要 增加 最 后 节 区 的 尺寸 

或 添加 新 节 区 ， 以 保证 有 足够 空间 存放 IDT。 





由 于 图 25-10 中 的 Null-Padding 区 域 可 以 使 用 , 接 下 来 , 我们 要 在 RVA: 8C80 ( RAW: 7E80 ) 位 
置 创建 IDT ( 请 记 住 这 个 位 置 )。 
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25.4 修改 TextView.exe 


先 把 TextView.exe 复 制 到 工作 文件 夹 ， 重 命名 为 TextView_Patch.exe 。 下 面 使 用 TextView_ 
Patch.exe 文 件 练习 打 补 丁 。 基 本 的 操作 步骤 是 : 先 使 用 PEView 打 开 TextView.exe 原 文件 ， 查 看 各 
种 PE 信息 ， 然 后 使 用 HxD 打 开 TextView_Patch.exe 文 件 进行 修改 。 


25.4.1 修改 导入 表 的 RVA 值 


IMAGE OPTIONAL HEADER 的 导入 表 结 构 体 成 员 用 来 指出 IDT 的 位 置 (RVA ) 与 大 小 ， 如 
图 25-12 所 示 。 





00000158 00000000 RVA i  EXPORT Table 





0000016C 00000184 Size 








图 25-12 PEView: IMAGE OPTIONAL _HEADER 的 IMPORT Table RVA/Size 


TextView.exe 文 件 中 ， 导 入 表 的 RVA 值 为 84CC。 接 下 来 ， 将 导入 表 的 RVA 值 更 改 为 新 IDT 的 
RVA 值 8C80， 在 Size 原 值 64 字 节 的 基础 上 加 14 个 字 节 (IID 结构 体 的 大 小 )， 修 改 为 78 字 节 (参考 
图 25-13 )。 


000090150 00 O0 GO OO 10 00 OO 
eoocolco JEU NS EYES a 





090000170 00 00 00 OO 00 00 OO 


图 25-13 HxD: TextView Patch.exe IMPORT Table RVA/Size 


从 现在 开始 ， 导 入 表 位 于 RVA: 8C80 (RAW: 7E80 ) 地 址 处 。 


25.4.2 ”删除 绑 定 导入 表 
BOUND IMPORT TABLE ( 绑 定 导入 表 ) 是 一 种 提高 DLL 加 载 速度 的 技术 ， 如 图 25-14 所 示 。 


20606661A5 O0000000 RVA LOAD CONFIGURATION Table 


000001AC 00000000 Size 
2@8@91B@ 00000000 RVA BOUND IMPORT Table 






60000188 00006000 RVA x IMPORT Address Table 
600001BC 00000154 Size E os 





若 想 正 常 导 人 myhack3.dll， 需 要 向 绑 定 导 人 表 添 加 信息 。 但 幸运 的 是 ， 该 绑 定 导入 表 是 个 可 
选项 ， 不 是 必须 存在 的 ， 所 以 可 删除 〈 修改 其 值 为 0 即 可 ) 以 获取 更 大 便利 。 当 然 ， 绑 定 导 人 表 
完全 不 存在 也 没关系 ， 但 若 存在 ， 且 其 内 信息 记录 错误 ， 则 会 在 程序 运行 时 引发 错误 。 本 示例 
TextView.exe 文 件 中 ， 绑 定 导 入 表 各 项 的 值 均 为 0， 不 需要 再 修改 。 修 改 其 他 文件 时 ， 一 定 要 注意 
检查 绑 定 导入 表 中 的 数据 。 


25.4.3 创建 新 1DT 
先 使 用 Hex Editor 完 全 复制 原 IDT (RAW: 76CC-772F )， 然 后 覆 写 ( Paste write) 到 IDT 的 新 
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位 置 (RAW: 7E80 )， 如 图 25-15 所 示 。 


in HxD - [C-WworkwTextView_Patched exe] 











teme 3 iss ie 
Ë) TextView. Patched.exe | 











Offset(h) 
@80697E50 
00007E60 
90007E70 
90007£80 


9o 01 02 03 04 05 
65 73 65 6E 74 


8 
$ 
$ 


|i$8$8222$53228 
$$32932222283 
$282322$22223 
$$$23$5222228 
$$2$$3322222222 
SSS 
$$23282222$22223 
$3$98$3232$3$223 


$$8232222222229 E 
$99889222292222]| 
3$3232222222222 


$8$8$253$$28885| 
$8$8$8$25$$58888| 
$888$8$9$328988985| 
$$$83$$9$$$883535 








图 25-15 











HxD: TextView Patch.exe 的 新 IDT 


然后 在 新 IDT 尾 部 (RAW: 7ED0 ) 添加 与 myhack3.dll 对 应 的 ID (后面 会 单独 讲解 各 成 员 的 


数据 ): 


代码 25-5 IMAGE IMPORT_DESCRIPTOR : x e 


typedef struct IMAGE IMPORT DESCRIPTOR í 


union í 

DWORD Characteristics; 

DWORD  OriginalFirstThunk; // 00008D00 
YN 
DWORD — TimeDateStamp; // 9 
DWORD ForwarderChain; // 9 
DWORD Name; // 00008D10 
DWORD FirstThunk; // 00008D20 


) IMAGE IMPORT DESCRIPTOR; 


=> RVA to INT 


=> RVA to DLL Name : 
=> RVA to IAT 


| 


在 准确 位 置 (RAW: 7ED0 ) 写 人 相关 数据 ， 如 图 25-16 所 示 。 


0007E88 3C 85 00 O00 00 00 OO 88 GO 
00007E90 ƏC 60 00 00 38 86 00 00 00 
00007EAO0 EA 87 00 00 08 61 00 060 30 
060007EBO $00 00 00 GG 16 88 00 00 00 
00007ECO $00 OO 00 OO OO OO OO OO 44 
00007ED8 | 0O 008 60 O0 88 O0 GO 
0G0007EEO0 eo eo o0 00 O0 OO 
0eo007EFO eo 20 00 00 O60 00 
00007F00 ee oo 00 00 00 eo 





图 25-16 


25.4. 1Ë Name. INT. IAT 


$8$$588$958383 


eo eo BC 86 88 00 
eo ea eo oo o0 ee 
ee eo oe 00 ee oe 
ee ee 2C 86 060 ee 
eo oo FC 60 00 00 
ee ee[ro eo 
ee oe 6 ee 
eo eo eo 
ee ea 





HxD: 为 myhack3.dll 添 加 IMAGE_IMPORT_DESCRIPTOR 结 构 体 数据 


前 面 添加 的 ID 结构 体 成 员 拥 有 指向 其 他 数据 结构 (INT, Name, IAT ) 的 RVA 值 。 因 此 ， 必 
须 准 确 设 置 这 些 数据 结构 才能 保证 TextView_ Patch.exe 文 件 正 常 运行 。 由 前 面 设 置 可 知 INT、 
Name、IAT 的 RVA/RAW 的 值 ， 整 理 如 表 25-2 所 示 。 
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3&25-2 INT. Name. IAT 





RVA RAW 

INT 8D00 7F00 
Name 8D10 7F10 
IAT 8D20 7F20 


提示 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
RVA 5 RAW (文件 偏 移 ) 间 Bos PEView。 但 是 建议 各 位 掌握 它们 之 
间 的 转换 方法 ， 亲 自 计算 (请 参考 第 13 章 





这 些 地 址 (RVA: 8D00, 8D10, 8D20) 就 位 于 新 创建 的 IDT (RVA: 8C80 ) 下 方 。 我 为 了 操 
作 方 便 才 选 定 该 区 域 , 各 位 选择 其 他 位 置 也 没关系 。 在 HxD 编 辑 器 中 转 到 7F00 地 址 处 ， 输 入 相应 
值 ， 如 图 25-17 所 示 。 


BB887ED9 @@ 10 8D 60 00 ................ 
00007EE0 ee ee eo 00 OO  ............... 
00007EF0 ee eo BO ea eO ................ 
eeee7ree Ë ee ee eo eo eo 0............... 
eeee7rie [ËD 元 lee oo eo ee oð myhack3.dll..... 
eece7r20 [E975 8 ee ee eo eo OO O0............... 
96667F38 O00 ee eo eo 88 OO ..dummy......... 
60007F40 ee eo eo eo 89 ................ 
00007F50 ee eo eo BƏ OO ................ 





图 25-17 HxD: myhack3.dllf]INT, Name, IAT 


为 了 更 好 地 理解 以 上 内 容 ， 使 用 PEView 打 开 TextView_Patch.exe 文 件 查 看 同一 区 域 ， 查 看 时 
使 用 RVA 视 图 方式 ， 如 图 25-18 所 示 。 


IID for myhack3.dll 


RVA of INT RVA of Name 


eeoescDo GO SD OO 00,00 00 GO GG OP O0 CO OO 10 8D O0 OQ!  ............ 
80666885 (26 8D 00 00120 oo oe o0 ee ee ee oe eo eo 00 OO ........... 
eecescye eo ee 0G eo eo oo 80 2O oe ea 86 o0 O0 O0 O0 OO ............ 
Name~966885D gp 75 88 ep 63 $p 33 2E 64 6C 6C 68]8e o0 89 eð  [myhack3.dll.| 
IAT—- 0000802 00 00 o0 00 09 O0 OO OO ` 6........... 
CEEE ee ee eo eo 99 ee 98 98 [..dummy..... 
00668D46 60 60 O0 GO OO OO 00 OO 00 O0 GO OO OO OO OO OO ..... uic 
Oeeespse eo o0 OO O0 GO OO BO OO 89 BO O0 OG GO OO O0 O0  ............ 
eeeosDce eo eo o0 O0 OO OO OO OO GƏ oo OO OO 0O OO OO OO ............ 











图 25-18 PEView: myhack3.dllJINT, Name, IAT 


下 面 讲解 图 25-18 中 显示 的 各 值 意义 。 

8CD0 地 址 处 存在 着 myhack3.dll 的 ID 结构 体 ， 其 中 3 个 主要 成 员 ( RVA of INT、RVA of Name. 
RVA of IAT ) 的 值 分 别 是 实际 INT、Name、IAT 的 指针 。 

简单 地 说 ，INT ( Import Name Table， 导 入 名 称 表 ) 是 RVA 数 组 ， 数 组 的 各 个 元 素 都 是 一 个 
RVA 地 址 ， 该 地 址 由 导入 函数 的 Ordinal ( 2 ) +Func Name String 结 构 体 构成 ， 数 组 的 末尾 
为 NULL。 上 图 中 INT 有 1 个 元 素 ， 其 值 为 8D30， 该 地 址 处 是 要 导入 的 函数 的 Ordinal ( 2 个 字 节 ) 
与 图 数 的 名 称 字符 串 ( “dummy” ). 
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Name 是 包含 导入 函数 的 DLL 文件 名 称 字符 串 ， 在 8D10 地 址 处 可 以 看 到 “myhack3.dl1” 字 
符 串 。 

IAT 也 是 RVA 数 组 ， 各 元 素 既 可 以 拥有 与 INT 相 同 的 值 ， 也 可 以 拥有 其 他 不 同 值 ( 若 INT 中 的 
数据 准确 ，IAT 也 可 拥有 其 他 不 同 值 )。 反 正 实际 运行 时 ，PE 装 载 器 会 将 虚拟 内 存 中 的 IAT 替 换 为 
实际 函数 的 地 址 。 

提示 

INT 的 各 元 素 其 实 是 1 个 IMAGE IMPORT BY NAME 结构 体 的 指针 (RVA ), 

IMAGE IMPORT BY NAME 结构 体 定义 如 下 : 


IMAGE_IMPORT_BY_NAME 
typedef struct IMAGE IMPORT BY NAME { 


WORD Hint; 
BYTE Name[1]; 
) IMAGE IMPORT BY NAME, *PIMAGE IMPORT BY NAME; Hh: MSDN 


Hint 成 员 代 表 函 数 的 Ordinal, Name 成 员 是 要 导入 的 函数 名 称 字符 串 。 





25.4.5 修改 1IAT 节 区 的 属性 值 


加 载 PE 文 件 到 内 存 时 ，PE 装 载 器 会 修改 LAT， 写 人 函数 的 实际 地 址 ， 所 以 相关 节 区 一 定 要 拥 
有 WRITE ( 可 写 ) 属性 。 只 有 这 样 ，PE 装 载 器 才能 正常 进行 写 人 操作 。 使 用 PEView 查 看 .rdata 节 
区 头 ， 如 图 25-19 所 示 。 


pFile Data Description Value 
00000200 2E 72 64 61 Name .rdata 
00000284 74 61 88 20 
9eeBe2es  O8882C56 virtual Size 
9eesee2ec 8008858898 RVA 
808808210 88882E88 Size of Raw Data 
80060214 28005208 Pointer to Raw Data 
888809218 00000808 Pointer to Relocations 
eeseB21C X eeeeeeeB Pointer to Line Numbers 
80080220 eeee Number of Relocations 
809000222 2688 Number of Line Numbers 











GODED224 Characteristics p 
06220848 IMAGE SCN CNT INITIALIZED DATA 
40008008 IMAGE_SCN_MEM_READ 





图 25-19 PEView: .rdata 节 区 头 


向 原 属 性 值 ( Characteristics ) 40000040 添 加 IMAGE SCN MEM WRITE ( 80000000 ) 属性 
值 。 执 行 bit OR 运 算 ， 最 终 属性 值 变 为 C0000040， 如 图 25-20 所 示 。 





90000200 2E 72 64 61 74 61 @@ @@ 56 2C 00 00 60 60 60 OO .rdata..V,...`.. 
60000210 00 2E 00 00 O0 52 00 00 O0 O0 GO GG OO OO OO OO ..... Pops durumda 
0000900220 906 ee eo oo 党 | 2E 64 61 74 61 00 80 O0 ....B..S.data 

00000230 EG 2B 00 00 00 90 GG OO OO GC O0 OO OO 80 O0 OO à+........... £:. 
00000240 GO 00 O0 OG GO OO OO OO OO OO OO OO 40 OO OO CO ............ Q..À 

















Éd25-20  HxD: 向 .text 节 区 添加 可 写 属性 
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| ————————— . 
TextView.exe 文件 的 IAT 原 位 于 .rdata 节 区 ， 且 .rdata 节 区 原本 就 没有 可 写 属 性 ,但 
程序 仍 能 正常 运行 。 可 是 若 在 TextView Patched.exe 中 不 进行 上 述 操 作 , 程序 将 无 法 正 
常 运行 。 原 因 在 哪 ? 这 是 因为 PE 头 的 IMAGE OPTIONAL HEADER 结构 体 Data 
Directory 数组 中 存在 IAT， 如 图 25-21 所 示 。 


@00001A8 00000000 RVA LOAD CONFIGURATION Table 
8000881AC 00000000 Size 
000090150 200000000 RVA BOUND IMPORT Table 


0900001B4 O0000000 Size 






38i 8 MPORT Address Table 





Geoeeice 8660006086 RVA I DELAY IMPORT Descriptors 


900001C4 00000000G Size 
9000901C8 00000000 RVA CLI Header 


00001CC 00000000 Size 





图 25-21 Data Directory: IMPORT Address Table 


# IAT 存在 于 该 地 址 区 域 ( 6000-6154 )， 即 使 相应 节 区 不 具有 可 写 属性 也 没关系 。 
图 25-22 是 TextView.exe 文件 的 IAT 区 域 ( RVA 6000 ) 的 一 部 分 。 













RVA Data Description Value 

90006000 000087F6 Hint/Name RVA 020D GetStockObject 

90606004 00008808 Hint/Name RVA 9041 Createrontd 
po dll 





































9052 CloseHandle 
009006010 O00008C3A Hint/Name RVA 0304 IsProcessorFeaturePresent 
00006014 O00008C28 Hint/Name RVA 0269 GetStringTypeW 
060006018 O00008C12 Hint/Name RVA 0367 MultiByteToWideChar 
e000601C 00008CO2 Hint/Name RVA 032D LCMapStringW 
00006020 90008BF4 Hint/Name RVA 02D2 HeapReAlloc 
90006024 82000869E Hint/Name RVA 06202 GetLastError 
00006028 O00008BD6 Hint/Name RVA 930A IsValidCodePage 
06000602C G0008BCA Hint/Name RVA 0237 GetOEMCP 
00006030 O0008BCO Hint/Name RVA 0168  GetACP 
60006034 00008884 Hint/Name RVA 0172 GetCPInfo 
090006038 O00008BA4 Hint/Name RVA 033F LoadLibraryW 
6000603C O00008B8C Hint/Name RVA @@EE EnterCriticalSection 
090006040 00008690 Hint/Name RVA @@8F CreateFileW 
090006044 O0008BES8 Hint/Name RVA 0418 RtluUnwind 
00006048 00008684 Hint/Name RVA 93Ce ReadFile 
@000694C 00008B74 Hint/Name RVA 9339 LeaveCriticalSection 
90006050 00008B68 Hint/Name RVA 92D4 HeapSize 
90006054 00008850 Hint/Name RVA 9186 GetCommandLineA 
90006058 900008862 Hint/Name RVA 0203 HeapSetInformation 
99000605C 00008878 Hint/Name RVA 9263 GetStartupInfoW 
@@006960 O000888A Hint/Name RVA @4C@ TerminateProcess 
@0006064 O000889E Hint/Name RVA 91C0 GetCurrentProcess 








图 25-22 TextView.exe 的 IAT 


从 图 25-22 中 可 以 看 出 ， 所 有 IAT 均 集 中 在 相同 区 域 (6000~6154 )。 同 样 ， 若 不 
想 在 TextView_Patched.exe 中 给 .rdata 节 区 添加 可 写 属性 ， 可 以 在 已 存在 的 IAT 区 域 后 
面 为 dummy0 添 加 IAT， 然 后 将 IAT (SIZE ) 增加 8 个 字 节 。 建 议 各 位 将 经 过 这 样 修改 
的 文件 保存 为 TextView_Patched2.exe， 然 后 再 与 TextView_Patched.exe 比较 。 


我 们 至 此 完成 了 所 有 修改 。 运 行 TextView_Patch.exe 文 件 将 会 正常 加 载 myhack3.dll 文 件 。 
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25.5 ”检测 验证 


首先 使 用 PEView 工 具 打 开 修改 后 的 TextView_Patch.exe 文 件 ， 查 看 其 IDT， 如 图 25-23 所 示 。 


@@0@8CC8 00008844 Name RVA SHELL32.d1l 
99995@FC rt Address LLE RV 


IMAGE SECTION HEADER .rsrc 
SECTION .text 
E: SECTION .rdata 
- IMPORT Address Table 
IMAGE DEBUG DIRECTORY [ 
L-IMAGE DEBUG TYPE CODEVIEW 
IMPORT Name Table 
IMPORT Hints/Names & DLL 
IMPORT Directory Table 
SECTION .data 
[g SECTION .rsrc 


图 25-23 PEView: 在 TextView_Patch.exe 文 件 的 IDT 中 注册 myhack3.dll 


回 IDT 导 和 人 myhack3.dl1 的 ID 结构 体 已 设置 正常 。 在 图 25-24 中 可 以 看 到 ，myhack3.dl 的 
dummy() ER ZCSE T8 JI 1 ENT. 


00000000 Time Date Stamp 
00000000 Forwarder Chain 















& SECTION .rdata 8686668664 00008720 Hint/Name RVA B27C SendMessageW 
IMPORT Address Table || 00008668 000088719 Hint/Mame RVA 0311 UpdateWindow 
IMAGE DEBUG DIRECTORY 8886866C GODOBEFE Hint/Name RVA 92CB SetWindowTextW 
IMAGE DEBUG TYPE CODEVIEW | 00008670 600086EC Hint/Name RVA 609C DefWindowProck 
IMPORT Name Table E 0606008674 @@Ə@86DE Hint/Name RVA 0218 MoveWindow 
IMPORT Hints/Names & DLL 00008678 000086CA Hint/Name RVA @@AF DispatchMessageW 

0000867C 00008770 Hint/Name RVA @1ED LoadIconW 


End of Imports USER32.dll 


SECTION .data " ë 
Hint Name RVA 


| IMPORT Directory Table Í 
IB SECTION .rsrc 


End of Imports 





图 25-24 PEView: dummy() 函 数 被 导入 TextView_Patch.exe 文 件 的 INT 


从 文件 的 结构 分 析 来 看 ， 修 改 成 功 。 接 下 来 ， 直 接 运行 文件 看 看 程序 能 否 正常 运行 。 先 将 
TextView_Patch.exe 与 myhack3.dll 放 和 人 相同 文件 来， 然后 运行 TextView_Patch.exe 文 件 ， 如 图 25-25 


所 示 。 












<!doctvpe 

window.google.sn-"webhp";var i=wind 
var gjwi-iocation;funcrtion _gjuc() 
jwindow. gjuc())&&setTimeout( gjp,S50 
window. gjp && g3p()€«/script»«styl 
loat:left)ja.gbl,a.gb4í(ítext-decorat 
C vlink-$551a8b alink-£ff0000 onica 
T-7p&pref-ig&pval-3&q-http://www.goog 
ciass-ds style-"heignt:32px;margin: 

















File... Options View Process Find 
€ Users iyi 

Edi | mo m S| Q| "Ti 
Pracess PID 


g tesrss, exe 344 
pf "wininit,exe 380 
j 
Í 




















i BORSE 382 | | | | "ronr-size: 83$;min-height:3.5em"»«b 
wirilegon,exe | 432 s if(google.y)google.y.first=[]:if(:!:g 

3 g esglorer prm i T9800 | {try{var form=document. f] |document. 

E var b,d,e,f:function gía,c)íif(a.re!| 

I | h,false)ielseí(k.artachEvent ("onload 


HD: 
</script> 








Name Description ^p 


MSASNI,dll ASN.1 Runtime £ 
; MSCTF dll MSCTF Server D 
msctf.dll.mul MSCTF Server D 
msvert.dll Windows NT CF 


jmswsock.dll Microsoft windo! 










pinsp. 
netprofm.dll 


nlaapi,dil Network Locatioi 
Normaliz,dll Unicode Normali 
npmproxv,dl! Network List Mar 
NSI,dll NSI User-mode i 
jntdildil, —.— NT DLL = 











le b 





2 A 
PU Usage: 4 48% Commit Charge: 27.7 


























图 25-25 ”运行 TextView_ Patch.exe 
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使 用 Process Explorer 工 具 查 看 TextView_Patch.exe 进 程 中 加 载 的 DLL 文件 , 可 以 看 到 已 经 成 功 
加 载 myhack3.dll ， 且 被 加 载 的 myhack3.dl! 文件 下 载 了 指定 网 站 的 index.html 文 件 ， 并 在 
TextView_Patch.exe 中 显示 。 


25.6 小结 


本 章 我 们 一 起 学 习 了 直接 修改 PE 文件 来 加 载 指定 DLL 文 件 的 方法 ,其 基本 原理 是 将 要 加 载 的 
dl 添加 到 IDT， 这 样 程序 运行 时 就 会 自动 加 载 。 只 要 理解 了 这 一 基本 原理 ， 再 结合 前 面 学 过 的 有 
关 PE 文 件 头 的 知识 ， 相 信 大 家 能 够 非常 容易 理解 (关于 PE 文件 头 的 知识 请 参考 第 13 章 )。 


第 26 章 PE Tools 








本 章 将 讲解 一 款 名 称 为 PE Tools 的 工具 ， 它 是 一 款 功 能 强大 的 PE 文件 编辑 工具 ， 具 有 进程 内 
存 转 储 、PE 文 件 头 编辑 、PE 重 建 等 丰富 多 样 的 功能 ， 并 且 支 持 插件 ， 带 有 插件 编写 示例 ， 用 户 
可 以 自己 开发 需要 的 插件 。 

26.1 PE Tools 


网 站 : http://petools.org.ru 
下 载 路 径 : http://petools.org.ru/updates/pt_update 08 rc7.zip ( 参考 图 26-1 ) 


[PE Tools Source Code] 


.900.2005 RC7] 





图 26-1 PE Tools 网 站 主页 


从 PE Tools 网 站 可 以 推测 出 ， 其 制作 者 为 俄罗斯 人 。 运 行 PE Tools T-R., 其 初始 画面 如 图 26-2 
所 示 ， 从 其 中 显示 的 “REVERSE ENGINEER S SWISS ARMY KNIFE”( 道 向 工程 师 的 瑞士 军刀 ) 
语句 可 以 感受 到 ， 它 的 制作 者 是 多 么 为 之 自豪 。 











PE Tools v1.5.800.2006 RC7 








Bullding process list... 12 of 70 





图 26-2 PE Tools 的 初始 画面 
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PE Tools 工 具 可 以 获取 系统 中 正在 运行 的 所 有 进程 的 列表 , 并 将 之 显示 在 主 窗口 中 , 如 图 26-3 
所 示 。 




















[IE Jc: Wwindows Wsystem32Wsvchost.exe 00000938 ^ 00620000 00008000 
|] [B7]: windows Wsystem32Wsvchost.exe 00000A3C ^ 00620000 00008000 








FEE PATI 














Memory: 453544 Kb/1572408 K! 
NA NEE M UDINE IEEE MEE NIE IUE E 


D cec 


[426-3 PE Tools 主 窗口 


我 使 用 PE Tools 的 主要 目的 是 利用 它 的 进程 内 存 转 储 功能 ， 有 时 修改 PE 文件 头 时 也 会 用 到 。 
下 面 简单 介绍 一 下 它 的 主要 功能 及 使 用 方法 。 


26.1.1 进程 内 存 转 储 


代码 逆向 分 析 中 经 常用 到 “ 转 储 ”( Dump ) 一 词 ， 意 为 “将 内 存 中 的 内 容 转 存 到 文件 ”。 这 

种 转 储 技术 主要 用 来 查看 正在 运行 的 进程 内 存 中 的 内 容 。 文件 是 运行 时 解压 缩 文件 时 , 其 只 有 在 

内 存 中 才 以 解压 缩 形 态 存在 ， 此 时 借助 转 储 技术 可 以 轻松 查看 与 源 文件 类 似 的 代码 与 数据 。 

提示 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 

e 使 用 PE 保护 器 时 , 文件 在 内 存 中 仍 处 于 压缩 与 加 密 状 态 , 即便 应 用 内 存 转 储 技 
术 也 往往 无 法 准确 把 握 文件 内 容 。 并 且 常 常 因为 使 用 Anti-Dump ( 反 转 储 ) 技 
术 而 给 转 储 带 来 很 大 困难 。 

e 在 调试 器 中 将 正在 运行 的 进程 附加 进来 后 ， 能 够 直接 准确 查看 进程 内 存 中 的 内 
容 。 而 使 用 PE Tools 的 转 储 功能 只 是 因为 它 比 使 用 调试 器 更 加 容易 、 方 便 ， 特 
别 是 查看 运行 时 压缩 程序 时 ， 通 过 转 储 功能 可 以 更 快速 、 更 简单 地 查看 内 存 中 
的 字符 串 等 。 





从 图 26-3 中 可 以 看 到 ,程序 主 窗口 分 为 上 下 两 部 分 ， 上 半 部 分 显示 的 是 正在 运行 的 进程 ， 下 
半 部 分 显示 的 是 当前 所 选 进程 中 加 载 的 DLL 模块 。 转 储 进程 的 可 执行 文件 映像 时 ,， 先 在 上 半 窗 口 
中 选中 相应 进程 ， 然 后 单 击 鼠 标 右 键 ， 弹 出 快捷 菜单 ( 参考 图 26-4 )。 


Ax 
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File View Tools Plugins Op 


Help 




















OREZ Sp EGL 

j Path PID Image Base Image Size 
| ied ci windowsf'explorer.exe 00000580 ^ O0DS50000 ^ 00280000 

4| BT eif fwindows Wsystem3: archindexer exe 0000350 07C0000 0 00 
[8] c: WwindowsWs 2! searchinde 0 007C000 006A0 








[8^ c: windows Wsystem32Wsvchost.exe 
Wuindows tus stem? Wnotepad, exe 







[System Idle Process] 






j c: Wiswww WutilianalysisWpetoolsWpeto 


00000AAC ^ 00990000 










| Dump Partial. 








| Path 


























00008000 
(0050000 
0006C000 
0006C000 









Image Size 


[ (le: Mhwindows Wsystem32 f hnotepad.exe 00030000 

| [88] cz windows Wsystem32Wntdll.dl | 0013C000 

[5 e: Wwindows system 32'ffkernel 32. dil Load Into PE Editor , 00004000 

||. [8 e: windows s ystem32'fkernelbase. dil PE Sniffer > 00044000 

E (S| c: windows f system 32 advapi32. dil ! | 000A0000 
图 26-4 ”进程 映像 转 储 菜单 








为 了 更 方便 地 转 储 ，PE Tools 为 用 户 提供 了 如 下 3 个 转 储 选 项 。 
Dump Full (完整 转 储 ) 
使 用 该 选项 时 ，PE Tools 会 检测 进程 的 PE 文件 头 ， 并 从 ImageBase 地 址 开始 转 储 SizeOfImage 
大 小 的 区 域 (该 区 域 即 是 PE 文件 被 加 载 到 内 存 后 的 映像 大 小 )。 
PE Image (PE 映像 ) 是 什么 ?一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
运行 普通 PE 文件 时 ， 其 加 载 到 内 存 中 的 形态 即 为 PE 映像 ， 经 常用 来 与 PE 文件 
区 分 。 代 码 逆 向 分 析 人 员 常 常 使 用 这 个 术语 ， 请 务必 牢记 。 





Dump Partial (部 分 转 储 ) 
该 功能 用 来 从 相应 进程 内 存 的 指定 地 址 开始 转 储 指定 大 小 的 部 分 , 转 储 起 始 地 址 与 大 小 在 如 
图 26-5 所 示 的 窗口 中 设置 。 


Dump Informations 





Range [00F60000-00F90000] 


Dump Length is: 


00030000 Range [00000000-00030000] 





图 26-5 ”部 分 转 储 对 话 框 





Dump Region (区 域 转 储 ) 
进程 内 存 ( 用 户 区 域 ) 中 所 有 分 配 区 域 都 被 标识 为 某 种 状态 ， 区 域 转 储 功 能 用 于 转 储 状态 
( State ) 标识 为 COMMIT 的 内 存 区 域 (参考 图 26-6 )。 


PE Tools 工具 在 进程 内 存 转 储 方面 大 名 章 章 ， 因 为 它 在 进程 转 储 操作 时 能 有 效 绕 
开 反 转 储 技术 ， 获 得 非常 好 的 转 储 效果 。 依 我 的 个 人 经 验 ， 使 用 其 他 转 储 工具 操作 失 
败 时 ， 使 用 PE Tools 往往 能 够 出 色 完 成 转 储 。 
























Address 00000000 Size 00010000 





Fd26-6 ”区 域 转 储 对 话 框 


26.1.2 PE 编辑 器 


直接 手动 修改 PE 文件 时 ,需要 修改 PE 文件 头 ,此 时 使 用 PE Tools 的 PE 编辑 器 功能 会 非常 方便 。 
使 用 时 拖 动 目标 PE 文件 ， 或 在 工具 栏 中 选择 Tools-PE Editor 即 可 。 

从 图 26-7 可 以 看 出 ，PE 编 辑 器 可 以 列 出 PE 文件 头 的 各 种 信息 ， 借 此 可 以 对 其 进行 详细 修改 。 
修改 PE 文件 时 ， 我 有 时 会 使 用 Hex Editor 或 PE Tools (或 者 其 他 PE 相关 工具 )。 








DOS Header Informations [HEX] 
| Magic number * 5A4D | Checksum 
| Bytes onlast page 0090 _ Initial IP value 


Pages in file 0003 Initial CS value 







Minimum memory ^ 0000 OEM Identifier 
| Maximum memory FFFF OGM Information o 
| Initial SS value 0000 PE Address * 


Initial SP value 0088 


























Entry Point (RAW): | Section: [. text], EP: 0x00002A89 


[26-7 PE 编辑 器 对 话 框 


26.2 小 结 


本 章 主要 讲解 了 有 关 PE Tools 工 具 的 内 容 ， 它 带 有 强大 的 进程 内 存 转 储 功 能 ， 及 PE 文件 头 修 
改 功能 。 虽然 这 些 功 能 在 OllyDbg 与 Hex Editor 中 也 有 , 但 是 PE Tools 是 一 款 专用 的 PE 编辑 工具 , 它 
的 这 些 功 能 使 用 起 来 更 加 方便 。 学 会 灵活 运用 这 些 有 用 的 工具 对 代码 逆向 分 析 是 十 分 有 帮助 的 。 
提示 
e PE Tools 工具 的 其 他 功能 不 太 常 用 ,使 用 方法 也 不 很 直观 ， 其 至 还 有 些 Bug， 
感 兴趣 的 朋友 可 以 自学 。 


e OllyDbg 也 支持 插件 , 为 它 设置 特定 插件 (如: OllyDump ) 也 可 以 进行 内 存 转 储 。 


246 第 263: PE Tools 


中 场 休 息 一 一 代码 逆向 分 析 的 乐趣 
“HERA, EKAA RRA” 


上 面 这 句 话 摘自 尹 五 荣 的 随笔 《 削 棒 要 的 老人 》 大 致 的 含义 是 : 只 有 经 历 了 必 经 的 过 
程 ， 才 能 获得 预期 的 结果 。 

想 学 好 代码 逆向 分 析 技 术 , 要 学 的 内 容 非常 多 , 需要 投入 大 量 的 时 间 与 精力 。 在 这 一 过 
程 中 应 当 始 终 保持 平和 的 心态 , 切忌 急躁 。 急躁 容易 让 人 烦躁 不 安 ,， 让 人 无 法 面 对 困 难 、 忍 
受 失败 。 在 学 习 代码 逆向 技术 的 过 程 中 ,无时无刻 不 碰 ( 自己 无 法 预料 的 )“ 壁 ”"， 要 把 这 些 
“墙壁 ” 当 作 挑战 ， 在 不 断 战 胜 它们 的 过 程 中 品尝 成 功 的 喜悦 。 我 认为 这 恰恰 就 是 学 习 代码 
逆向 分 析 技 术 的 乐趣 所 在 。 


不 尽 如 人 人意， 也 不 必 有 压力 。 
代码 逆向 分 析 技 术 本 身 就 “不 尽 如 人 人意 


TEXS, 平复 心绪 ， 一 点 一 点 ， 搜 集 信息 。 
直到 成 功 ， 不 断 努力 。 

头疼 了 ， 就 稍 事 休 息 。 

重要 的 是 ， 不 要 放弃 ， 坚 持 到 底 。 

就 像 拼 图 游戏 ， 

万 事 总 有 解决 之 理 。 

投入 时 间 精 力 ， 终 能 成 功 学 习 。 


突然 觉得 ， 所 有 工程 技术 的 本 质 属性 都 是 一 样 的 。 你 投入 的 时 间 越 多 、 越 努力 ， 这 方面 
的 实力 就 越 强 ,世界 万 物 丝 同 此 理 。 


“投入 的 时 间 与 精力 都 会 积累 成 实力 。” 
我 认为 这 就 是 学 习 代码 逆向 分 析 技 术 的 乐趣 所 在 ， 各 位 又 是 怎么 想 的 呢 ? 
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本 章 将 讲解 代码 注入 〈 Code Injection ) 相关 技术 ,并 借助 一 个 练习 示例 向 各 位 展示 代码 注入 
的 实施 原理 与 方法 。 通 过 比较 分 析 ， 了 解 代码 注入 与 DLL 注 入 的 不 同 点 。 


27.1 代码 注入 


代码 注入 是 一 种 向 目标 进程 插入 独立 运行 代码 并 使 之 运行 的 技术 ， 它 一 般 调用 
CreateRemoteThread() API 以 远程 线程 形式 运行 插入 的 代码 ,所 以 也 被 称 为 线程 注 人 。 图 27-1 描 述 
了 代码 注入 技术 的 实现 原理 。 








: Codelnjection exe 
进程 








图 27-1 ”代码 注入 


首先 向 目标 进程 target.exe 插 入 代码 与 数据 , 在 此 过 程 中 , 代码 以 线程 过 程 ( Thread Procedure ) 
形式 插入 , 而 代码 中 使 用 的 数据 则 以 线程 参数 的 形式 传人 。 也 就 是 说 , 代码 与 数据 是 分 别 注 入 的 。 
如 上 所 言 ， 代 码 注 入 的 原理 非常 简单 ， 但 具体 实现 过 程 中 有 一 些 内容 必 须 注意 。 下 面 就 通过 与 
DLL 注入 比较 来 讲解 实现 代码 注入 的 注意 事项 。 


27.2 DLL 注入 与 代码 注入 


请 看 下 面 这 段 简单 的 代码 ， 它 用 来 弹出 Windows 消 息 框 。 


DWORD WINAPI ThreadProc(LPVOID lParam) 
MessageBoxA(NULL, "www.reversecore.com", "ReverseCore", MB OK); 


return 0; 
) Hih: MSDN 


若 使 用 DLL 注入 技术 ， 则 需要 先 把 上 述 代码 放 和 人 某 个 DLL 文件 ， 然 后 再 将 整个 DLL 文件 注入 
目标 进程 。 采 用 该 技术 完成 注入 后 ， 运 行 OllyDbg 调 试 器 ， 查 看 上 述 ThreadProc0 代 码 区 域 ， 如 图 
27-2 所 示 。 
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iseapicno| . 6A aa USH & Style = MB OKIMB RPPLHMODRL 
10061002) . 68 9092009010 PUSH 10009290 Title = "ReuerseCore'" 
ieeO1co?| . 68 SC920010 PUSH 108808929C Tent = "Ww.reversecore.com'" 
10020100C) . 6A BA PUSH à NULL 

iüalaGE| . FF15 F08000181CRLL DWORD PTR DS:[100080F0] | CtessaasBouh 

16601014] . 3300 XOR EAX, EAX 

inmsnatnie6| . C2 0400 RETN 4 








图 27-2  ThreadProc() 
请 注意 图 27-2 代 码 中 使 用 的 地 址 。 首 先 ，10001002 地 址 处 有 一 条 PUSH 10009290 指 令 ， 紧 接 


其 下 的 是 PUSH 1000929C 指 令 。 在 OllyDbg 的 内 存 Dump 窗 口中 查看 地 址 10009290 与 1000929C, 如 
图 27-3 所 示 。 





TR 


38683232C8IDD pa pa 6 ba Do HA HG AA BB GB BB BB Da OB BD ................ 
图 27-3 ”字符 串 


从 图 27-3 中 可 以 看 到 ， 这 2 个 地 址 ( 10009290 与 1000929C ) 分 别 指向 DLL 数 据 节 区 中 的 字符 
EB (“ReverseCore”、“www.reversecore.com”)。 上 面 2 条 PUSH 指 令 将 MessageBoxA() API 中 要 使 用 
的 字符 串 (“ReverseCore”、“www.reversecore.com”) 的 地 址 存储 到 栈 。 继 续 看 图 27-2，1000100E 
地 址 处 有 一 条 CALL DWORD PTR DS:[100080F0] 指 令 ， 该 CALL 指 令 即 是 调用 user32! 
MessageBoxA() API 的 命令 ， 转 到 100080F0 地 址 处 查看 ， 如 图 27-4 所 示 。 








655SGFS| 66606D00 
1B068pFr | 9506656 


图 27-4 USER32.MessageBoxA() 


从 图 27-4 可 知 ，100080F0 地 址 就 是 DLL 的 IAT 区 域 (在 其 上 方 可 以 看 到 其 他 API 的 地 址 )。 像 
这 样 ，DLL 代 码 中 使 用 的 所 有 数据 均 位 于 DLL 的 数据 区 域 。 采 用 DLL 注入 技术 时 ， 整 个 DLL 会 被 
插入 目标 进程 ， 代 码 与 数据 共存 于 内 存 ， 所 以 代码 能 够 正常 运行 。 与 此 不 同 ,代码 注入 仅 向 目标 
进程 注入 必要 的 代码 〈 图 27-2 )， 要 想 使 注入 的 代码 正常 运行 ， 还 必须 将 代码 中 使 用 的 数据 ( 图 
27-3、 图 27-4 ) 一 同 注 入 ( 并且 要 通过 编程 将 已 注入 数据 的 地 址 明确 告知 代码 )。 基 于 这 种 原因 ， 
使 用 代码 注入 技术 时 要 考虑 的 事项 比 使 用 DLL 注 入 技术 要 多 得 多 。 通过 分 析 后 面 示例 的 代码 , 大 
家 可 以 更 准确 地 把 握 。 


使 用 代码 注入 的 原因 


RK, 代码 注入 要 实现 的 功能 与 DLL 注 入 类 似 , 但 具体 实施 时 要 考虑 的 事项 更 多 , 使 用 起 来 
更 加 不 便 。 那 它 的 优点 究竟 是 什么 呢 ? 

1. 占用 内 存 少 

如 果 要 注入 的 代码 与 数据 较 少 , 那么 就 不 需要 将 它们 做 成 DLL 的 形式 再 注 和 人。 此 时 直接 采用 
代码 注入 的 方式 同样 能 够 获得 与 DLL 注入 相同 的 效果 ， 且 占用 的 内 存 会 更 少 。 

2. 难以 查找 痕迹 

采用 DLL 注 人 方式 会 在 目标 进程 的 内 存 中 留 下 相关 痕迹 , 很 容易 让 人 判断 出 目标 进程 是 否 被 
执行 过 注入 操作 。 但 采用 代码 注入 方式 几乎 不 会 留 下 任何 痕迹 ( 当然 也 有 一 些 方法 可 以 检测 ), 
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此 恶意 代码 中 大 量 使 用 代码 注入 技术 。 


3. 其 他 
不 需要 另外 的 DLL 文件 ， 只 要 有 代码 注入 程序 即 可 。 大 家 刚 开 始 会 觉得 代码 注入 技术 生 玻 ， 


熟悉 之 后 就 会 觉得 简单 好 用 。 
简单 归纳 一 下 : DLL 注入 技术 主要 用 在 代码 量 大 且 复 杂 的 时 候 ， 而 代码 注入 技术 则 适用 于 代 


码 量 小 且 简 单 的 情况 。 
27.3 ”练习 示例 

本 节 我 们 学 习 一 个 代码 注入 示例 ( Codelnjection.exe )， 用 它 向 notepad.exe 进 程 注入 简单 的 代 
人 码 ， 注 入 后 会 弹出 消息 框 。 


27.3.1 运行 notepad.exe 


首先 运行 notepad.exe， 然 后 使 用 Process Explorer 查 看 notepad.exe 进 程 的 PID， 如 图 27-5 所 示 。 
我 的 测试 环境 中 ，notepad.exe 的 PID 为 1896。 



















Elle Options View. Process -Find Handle - Users 
Help 
R 9 | m E BÚ sl É X A @ 


CPU Description 











Process PID 
m) 8 System Idle Process 0 9385 


csrss,exe 368 Client Server 








im wininit,exe 404 Windows 
m ]csrss,exe 415 Client Server 
ü winlogon,exe 500 Windows 

日 „a Xplorer'e SR SESS. "Windows . I 








Epris 











Name 


Default 
KnownDIlls 
WSessionswl1wBaseMamedObjects 
%#KernelObjectswMaximumCommitCond 
CWUsersWRheverseCore 
CN 'Windowstitwinsxst* x86, microsoft. w | 
C3WWindowsWwSystem32Wko-KRWnote 7 || 
j 上 

























Commit Charge: 23.18% Processes 





CPU Usage: 6.15% 





图 27-$ ”查看 notepad.exe 的 PID 


27.3.2 ”运行 Codelnjection.exe 
在 命令 行 窗口 中 输入 命令 与 参数 (notepad.exe 的 PID )， 运 行 CodeInjection.exe 文 件 ， 如 图 
27-6 所 示 。 
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图 27-6 ”运行 CodelInjection.exe 


27.3.8 ”弹出 消息 框 


notepad.exe 进 程 中 弹出 一 个 消息 框 ， 如 图 27-7 所 示 。 


| ] ReverseCore 





图 27-7 弹出 消息 框 


提示 





弹出 的 消息 框 可 能 位 于 notepad.exe 窗口 的 下 方 ， 查 看 时 请 注意 。 








接 下 来 看 示例 的 源 代 码 ， 仔 细 分 析 代 码 注 人 是 如 何 实现 的 。 
27.4 Codelnjection.cpp 


为 便于 说 明 , 下 面 即将 介绍 的 源 代码 略 去 了 异常 处 理 部 分 ， 
CodeInjection.cpp 文 件 。 


Codelnjectien; cpp 4& J] VC++ 2010 Express Edition 工具 编写 
32 位 系统 中 通过 测试 


完整 代码 请 


参考 


H4 


考 本 书 源 代码 中 的 


而 成 , 在 Windows XP/7 
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27.4.1 main() 函 数 


首先 看 一 下 main0 函 数 。 


int main(int argc, char *argv[]) 
1 
DWORD dwPID = 0; 


if( argc != 2 ) 

1 
printf("Xn USAGE : %s pidWXn", argv[0]); 
return 1; 


d 


// code injection 
dwPID = (DWORD)atol(argv[1]); 
InjectCode (dwPID) ; 


return 0; 


main) KUH H InjectCode0 PR, 1AM RRO EUERSIEFEIT]PID 


27.4.2 ThreadProc() 函 数 


分 析 InjectCode() 函 数 之 前 ， 先 看 一 下 要 注入 目标 进程 的 代码 ( 线程 函数 )。 


// Thread Parameter 
typedef struct THREAD PARAM 
{ 
FARPROC pFunc[2]; // LoadLibraryA(), GetProcAddress() 
char  . szBuf[4] [128]; // "user32.dll", "MessageBoxA", 
// "www.reversecore.com", "ReverseCore" 
) THREAD PARAM, *PTHREAD PARAM; 


// LoadLibraryA() 
typedef HMODULE (WINAPI *PFLOADLIBRARYA) 
( 
LPCSTR lpLibFileName 
); 


// GetProcAddress() 
typedef FARPROC (WINAPI *PFGETPROCADDRESS) 
( 
HMODULE hModule, 
LPCSTR lpProcName 
); 


// MessageBoxA() 
typedef int (WINAPI *PFMESSAGEBOXA) 
( 


HWND hWnd, 
LPCSTR lpText, 
LPCSTR lpCaption, 
UINT uType 

); 
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// Thread Procedure 
DWORD WINAPI ThreadProc(LPVOID lParam) 


1 
PTHREAD PARAM X pParam = (PTHREAD PARAM)lParam; 
HMODULE hMod = NULL; 
FARPROC pFunc = NULL; 
// LoadLibrary("user32.dll") 
// | pParam-»pFunc[0] -> kernel32!LoadLibraryA() 
//  pParam-»szBuf[0] -> "user32.dll" 
hMod = ((PFLOADLIBRARYA)pParam-»pFunc[0]) (pParam-»szBuf[0]); 
// GetProcAddress ("MessageBoxA") 
// | pParam-»pFunc[1] -> kernel32!GetProcAddress() 
// | pParam-»szBuf[1] -> "MessageBoxA" 
pFunc = (FARPROC) ( (PFGETPROCADDRESS) pParam-»pFunc[1])(hMod, pParam-» 
szBuf[1]); 
// MessageBoxA(NULL, "www.reversecore.com", "ReverseCore", MB OK) 
// | pParam-»szBuf[2] -> "www.reversecore.com" 
// | pParam-»szBuf[3] -> "ReverseCore" 
((PFMESSAGEBOXA) pFunc) (NULL, pParam-»szBuf[2], pParam-»szBuf[3], 
MB OK); 
return 0; 
} 


ERRE rp SEES BETTE AR B4) E ThreadProc() Kt ( 前 面 的 typedef 语 句 是 针对 C 语 言语 法 的 ， 
不 需要 注入 )。ThreadProcO 函 数 代码 中 使 用 了 很 多 函数 指针 ， 乍 一 看 比较 复杂 ， 但 稍微 整理 就 会 
发 现 其 实 很 简单 。 


hMod = LoadLibraryA(“user32.dll”); 
pFunc = GetProcAddress(hMod, "MessageBoxA"); 
pFunc(NULL, "www.reversecore.com", "ReverseCore", MB OK); 


同时 参考 代码 27-2 中 的 注释 ， 相 信 大 家 能 够 很 容易 地 理解 ThreadProc() 函 数 的 代码 。 

其 实 ， 重 要 的 是 ThreadProcO0 代 码 这 一 概念 。 代 码 注入 技术 的 核心 内 容 是 注入 可 独立 运行 的 
代码 ， 为 此 , 需要 同时 注入 代码 与 (代码 中 引用 的 ) 数据 ， 并 且 要 保证 代码 能 够 准确 引用 注入 的 
数据 。 从 上 述 代 码 中 的 ThreadProcO 函 数 可 以 看 到 ， 函 数 中 并 未 直接 调用 相关 API， 也 未 直接 定义 
使 用 字符 串 ， 它 们 都 通过 THREAD PARAM 结构 体 以 线程 参数 的 形式 传递 使 用 。 

若 ThreadProc0 函 数 在 一 个 普通 程序 中 ， 其 函数 代码 将 非常 简单 ， 代 码 如 下 : 
代码 27-3 ”普通 程序 中 的 ThreadProc() 


DWORD WINAPI ThreadProc(LPVOID lParam) 
1 


MessageBoxA(NULL, "www.reversecore.com", "ReverseCore", MB OK); 


return 0; 


编译 代码 27-3 后 ， 使 用 调试 器 调试 生成 的 文件 ， 如 图 27-8 所 示 。 





1999190099] . éA oa PUSH Ki - Style = MB OK!MB RPPLMODRL 
1999199892] . $69 90920010 PUSH [18089298 Title = "ReverseCore" 
10061007] . 68 9C9200180 PUSH [eaas23c Text = "wuww.reuersecore,.com" 
155D1CBDC| . 6A aao PUSH" ~ hOuner = NULL 

igaoaiBaE| . FF1S F0808010|CRLL DWORD PTR DS: 时 66686FG MessageBox 

16601014| . 33C6 XOR EAX, EAX — 

188G1016| . C2 84080 RETN 4 


图 27-8  ThreadProc() 
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若 将 图 27-8 中 的 代码 ( 10001000~10001018 区 域 ) 注入 其 他 进程 ， 则 代码 将 无 法 正常 运行 。 
原因 在 于 ， 代 码 中 引用 地 址 (10009290. 1000929C, 100080F0) 的 内 容 并 不 存在 于 目标 进程 。 
要 使 代码 能 够 正常 工作 ， 必 须 向 相应 地 址 同时 注入 相关 字符 串 以 及 API 地 址 。 并 且 通 过 编程 方式 
使 图 27-8 中 的 代码 也 能 够 准确 引用 被 注入 数据 的 地 址 。 

为 满足 这 样 的 条 件 ， 在 代码 27-2 的 ThreadProc0 函 数 中 使 用 THREAD PARAM 结构 体 来 接收 2 
个 API 地 址 与 4 个 字符 串 数据 。 其 中 2 个 API 分 别 为 LoadLibraryA() 与 GetProcAddress()， 只 要 有 了 这 
2 个 API， 就 能 够 调用 所 有 库 函 数 。 


提示 


上 述 示 例 可 以 不 传递 LoadLibraryA( 与 GetProcAddressO 的 地 址 ， 直 接 传 递 


MessageBoxA0 的 地 址 使 用 即 可 。 但 原则 上 要 先 传递 LoadLibraryA()5 GetProcAddress(), 

然后 使 用 它们 加 载 需要 的 DLL， 再 直接 获取 要 用 的 光 数 地 址 。 这 种 方式 的 好 处 在 于 可 以 
把 相关 库 准 确 加 载 到 指定 进程 。 若 将 Windows 套 接 字 ( Socket ) API 中 的 ws2_32!connect() 
地 址 传递 给 notepad.exe 进程 之 后 再 使 用 ， 就 会 发 生 运 行 错误 (notepad.exe 默认 不 加 载 


ws2_32.dll )。 





大 部 分 用 户 模 式 进程 都 会 加 载 kernel32.dll， 所 以 直接 传递 LoadLibraryA0 与 GetProcAddress() 
的 地 址 不 会 有 什么 问题 。 但 是 ， 有 些 系统 进程 ( HH: smss.exe ) 是 不 会 加 载 kernel32.dll 的 ， 事前 


像 kernel32.dll 这 样 的 系统 库 , 在 OS 启动 的 状态 下 ,所 有 进程 都 会 将 其 加 载 到 相同 地 址 。 但 是 
车 OS 版 本 不 同 ( Vista、7 等 )， 或 系统 重启 后 ， 即 使 是 相同 模块 ， 加 载 地 址 也 会 变化 。 
使 用 调试 器 调试 代码 27-2 中 的 ThreadProc() 函 数 代 码 ， 如 图 27-9 所 示 。 


SBEC MOU EBP,ESP 


9406198061 
60461003 
9491984 
eaanionz 
6854D1983 
60401060C 
8840180D 
RE84819RF 
@9401011 
00401919 
20481018 
940109 
684618018 
9401010 
0040901023 


eyes 


B6461824|| . 
G8461825|| . 
85481823|| . 


£» M» e * Www w Š w 
€ 


B6481836I| .。 51 
66481837|| . 
G848183D|| . 
8046183E|| . 
S8461846|| . 


O@401942|| . 
B8481844|| . 





E8481045|| . 
24610646L. 


就 是 说 , 图 27-9 中 的 ThreadProc0 函 数 是 可 以 独 








PUSH ESI 

MOU ESI,DUORD PTR SS:[EEP*81 
MOU ECX, DWORD PTR OS: [ESI) 
LEA EAX, DWORD PTR DS: CESI+8] 
PUSH EAX 

CALL ECX 

TEST EAX, EAX 

JH2 SHORT 00401010 


LEA EDX, DWORD PTR DS:[ESI+88] 
PUSH EDX 
PUSH EAX 
MOU EAX, DWORD PTR DS:[ESI+4] 


TEST EAX, EAX 

JE SHORT 00401013 

PUSH ô 

LEA ECX, DWORD PTR DS: [LESI+188] 





| [EBP+8] = lParam = address of THREAD_PARAM 
| EAX = "user32. dli" 


| kernel32.LoadL ibrargR() 


| EDX = "HessageBouR" 
| EAX = hrod 


kernelS2.GetProcRddress() 


| ECX = "ReverseCore" 


| ESI = "uuw.reuerseoore.con'" 


| user32.llessageBo«RC) 


图 27-9 ”ThreadProc0) 函 数 代码 
从 图 27-9 中 的 代码 可 以 看 到 ， 所 有 重要 数据 都 是 从 线程 参数 lParam[EBP+8] 接 收 使 用 的 。 也 


立 运行 的 代码 (不 直接 引用 被 硬 编码 的 地 址 数据 )。 


若 将 上 图 27-9 与 前 面 介绍 过 的 图 27-8 比 较 ， 可 以 明显 看 到 它们 的 不 同 之 处 。 


27.4.3 


{ 
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代码 注入 


提示 


Visual C++ 2010 Express Edition 集成 开发 环境 中 ,根据 所 用 模式 “Release/Debug” 


及 “优化 ”选项 的 不 同 ，CodeInjection.cpp 文件 经 过 编译 生成 的 代码 可 能 与 图 27-9 


不 同 。 


InjectCode() 函 数 





InjectCode0 是 代码 注入 技术 的 核心 部 分 ， 以 下 是 其 代码 。 


BOOL InjectCode(DWORD dwPID) 


HMODULE hMod = NULL; 
THREAD PARAM param = (0,); 
HANDLE hProcess = NULL; 
HANDLE hThread = NULL; 
LPVOID pRemoteBuf [2] z (0,); 
DWORD dwSize = 0; 


hMod = GetModuleHandleA("kernel32.dll"); 


// set THREAD PARAM 


param.pFunc[0] = GetProcAddress(hMod, "LoadLibraryA"); 
param.pFunc[1] = GetProcAddress(hMod, "GetProcAddress"); 


strcpy s(param.szBuf[0], "user32.dll"); 
strcpy s(param.szBuf[1], "MessageBoxA"); 


strcpy s(param.szBuf[2], "www.reversecore.com"); 


strcpy s(param.szBuf[3], "ReverseCore"); 


// Open Process 

hProcess = OpenProcess(PROCESS ALL ACCESS, 
FALSE, 
dwPID); 


// Allocation for THREAD PARAM 
dwSize = sizeof(THREAD PARAM); 
pRemoteBuf[0] = VirtualAllocEx(hProcess, 
NULL, 
- dwSize, 
MEM COMMIT, 


// dwDesiredAccess 
// bInheritHandle 
// dwProcessId 


// hProcess 

// lpAddress 

// dwSize 

// flallocationType 


PAGE READWRITE); // flProtect 


WriteProcessMemory (hProcess, 
pRemoteBuf [0] , 
(LPVOID)&param, 
dwSize, 
NULL) ; 


// Allocation for ThreadProc() 


// hProcess 

// lpBaseAddress 

// LpBuffer 

// nSize 

// [out] 

// lpNumberOfBytesWritten 


dwSize = (DWORD)InjectCode - (DWORD)ThreadProc; 


pRemoteBuf[1] = VirtualAllocEx(hProcess, 
NULL, 
dwSize, 
MEM COMMIT, 


// hProcess 

// LpAddress 

// dwSize 

// flAllocationType 


PAGE EXECUTE READWRITE); // flProtect 
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WriteProcessMemory(hProcess, // hProcess 
pRemoteBuf[1], // lpBaseAddress 
(LPVOID)ThreadProc, // LpBuffer 
dwSize, // nSize 
NULL) ; // [out] 

// lpNumberOfBytesWritten 
hThread = CreateRemoteThread(hProcess, // hProcess 
NULL, // lpThreadAttributes 
e // dwStackSize 


(LPTHREAD START ROUTINE)pRemoteBuf[1], 
pRemoteBuf [0], // lpParameter 

9, // dwCreationFlags 
NULL) ; // lpThreadId 


WaitForSingleObject(hThread, INFINITE); 


CloseHandle(hThread); 
CloseHandle(hProcess); 


return TRUE; 


代码 27-4 与 DLL 注入 代码 非常 相似 。InjectCode0 函 数 的 set THREAD_PARAM 部 分 用 来 设置 
THREAD PARAM 结构 体 变 量 ， 它 们 会 注入 目标 进程 ， 并 且 以 参数 形式 传递 给 ThreadProc0) 线 程 
函数 。 

提示 一 一 
Windows OS 中 ， 加载 到 所 有 进程 的 kemel32.dll 的 地 址 都 相同 ， 所 以 Codelnjection.exe 
进程 中 获取 的 API ( “LoadLibraryA”. “GetProcAddress” ) 地 址 与 notepad.exe 进程 中 获 
取 的 API ( “LoadLibraryA”. "GetProcAddress" ) 地 址 是 一 样 的 ， 请 记 住 这 一 点 。 


设置 好 THREAD_PARAM 结 构 体 后 ， 接 着 调用 了 一 系列 API 函 数 ， 其 核心 API 函 数 归纳 整理 
如 下 : 


OpenProcess() 


// data : THREAD PARAM 
VirtualAllocEx() 
WriteProcessMemory() 


// code : ThreadProc() 
VirtualAllocEx() 
WriteProcessMemory() 
CreateRemoteThread( ) 
上 述 代 码 主 要 用 来 在 目标 进程 中 分 别 为 data 与 code 分 配 内 存 ， 并 将 它们 注入 目标 进程 。 最 后 
调用 CreateRemoteThread() API， 执 行 远 程 线程 。 至 此 ， 使 用 代码 注入 技术 的 示例 源码 讲解 


<> 
完毕 。 


为 便于 说 明 , 我 选 的 示例 非常 基础 、 简 单 , 但 这 丝毫 不 会 影响 我 们 对 代码 注 人 技术 的 学 习 与 
理解 。 恰 恰 相 反 ， 它 能 帮助 我 们 更 快速 、 更 轻松 地 理解 代码 注入 技术 的 原理 。 之 后 ， 大 家 可 以 多 
做 些 相关 练习 、 多 思考 ， 形 成 自己 特有 的 代码 注入 技术 。 


代码 注入 





27.5.1 


“Runing” ( j# 


27.5.2 


代码 注入 是 一 种 向 目标 进程 
即 可 从 注入 的 线程 代码 开始 调试 。 


我 实现 代码 注入 技术 时 ， 通 常会 用 汇编 语言 编写 要 注入 的 代码 ， 


编写 时 可 以 使 用 


复杂 些 的 MASM， 也 可 以 使 用 简单 的 DllyDbg“ 汇 编 ” 命 令 ( 快捷 键 Space )。 编 好 之 


后 ， 再 使 用 InjectCode()% 
建 更 为 直观 的 注入 代码 。 


a g$ Hex 代码 的 缓 





27.5 代码 注入 调试 练习 


本 节 将 调试 代码 注 和 技术， 了解 代码 注 人 的 动态 过 程 。 


调试 notepad.exe 


冲 区 注入 目标 进程 。 这 种 方法 更 有 利于 创 


用 OllyDbg 开 始 调试 notepad.exe 文 件 。 如 图 27-10 所 示 ， 按 F9 运 行 键 ， 使 notepad.exe 处 于 


运行 ) 状态 o 





FF15 
Cr45 
C745 FC 010000 
64:R1 15000000; 
8870 04 
BF SCC26668 
6A ae 
56 
57 
FF15 600116600 
seca 
aüFS5 36350000 
33F6 

. 46 

> Al R4Caeean 

















| PUSH 6637RB 

|CALL Gaeespac 

XOR EBX, EBX 

MOU DWORD PTR SS: LEBP-1C3, EBX 
MOU DUORD PTR SS:LEBP-41,EBX 
LER EAX, DWORD PTR SS:[EBP-681 
PUSH EAX 

|CALL DWORD PTR DS:[6610FC] 

| HOU DWORD PTR S8: LEBP-43,-2 
MOU DWORD PTR SS: [EBP-4], 1 
MOY EAX, DWORO PTR FS:[181 

MOV ESI, DWORD PTR OS: CEAX+4] 
MOY EDI, 66C25C 

| PUSH ü 

| PUSH ESI 

| PUSH EDI 

CALL DWORD PTR DS:[6611001 
TEST EAX, EAX 

me Baeeécio 

QR ESI,ESI 

NC. ESI 

[MOU EAX, DWORD PTR DS: [66C0R41 











设置 OllyDbg i 


图 27-10 


选项 





80663B0C 


ipinto = 01480A30 
rtrupInfof 


- O800000 
8680DF848 
Aral = 773E8F97 
InrerlozkedConnarcEnchange 


Baeeecia 





调试 notepad.exe 进 程 


482 
Ə@mDF48C ASCII" 
0009009011 


GS anoa NULL 
LastErr ERROR SUCC 
SƏ@000246 (NO, NB, E, EET] 
empty 6. 

B 


e 
-Baseonconpen 


创建 新 线程 的 技术 ， 如 图 27-11 所 示 ， 设 置 好 OllyDbg 的 选项 后 ， 
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Registers l Stack | Analysis 1 | Analysis 2 | Analysis 3 | 
Exceptions | Trace l SFX | Strings | Addresses. | 





Eu - 


Make first pause at: 
(C System breakpoint 
会 Entry point of main module 


Security | Debug 


C WinMain [if location is known) 


[^ Break on new module (DLL) 
[^ Break on module [DLL] unloading 












Le ] Undo | Cancel 


图 27-11  &3&Break on new thread 


从 现在 开始 , 每 当 notepad.exe 进 程 中 生成 新 线程 , V iX as b er TE RFE PRUBOT s P ROLE o 





27.5.3 ”运行 Codelnjection.exe 


借助 Process Explorer 工 具 查看 notepad.exe 进 程 的 PID ， 如 图 27-12 所 示 。 


E 














|: Process Explorer - Sysinternals: www sysinternals.com [RCC.. | — ||: 
File Options View Process Find. DLL Users Help 
l| 四 | 号 四 图 S| x | À @ 

A. — j 


Process PID CPU Description Col 












| wg System Idle Process 0 I 
| m |CSrSS,exe | 340 Client Server Runtime P... Mici 
ig 75 wininit,exe 376 Windows Mici 

| iw"csrss.exe 388 Client Server Runtime P... Mict 
| winlogon,exe 476 Windows Mict 
2036 Windows Mict 


|= .explorer,exe 


Sus 


al: 








! 
4 m rÍ 











Name Description Company Name * | 
{AFBF9F1A-8EES-4C77-,.. | 
aclui.dll Microsoft Corporati | 
&clui,dll,mui Microsoft Corporati | 
AD V APIS2, dll Microsoft Corporati | 
advapi32.dll,mui Microsoft Corporati | 
apphelp.dil Microsoft Corporati | 
apphelp.dll,mui Microsoft Corporati + D: 

i 


«1 à " "t " i r 














CPU Usage: 100.00% Commit Charge: 28.25% Processes: 32 Physical Usage: 





[827-12 ”notepad.exe 进 程 的 PID 


在 命令 行 窗口 输入 PID 作 为 参数 ， 运 行 CodelInjection.exe， 如 图 27-13 所 示 。 





"osoft W iow [Version é 


ight <c) 2889 Microsoft 


rk»CodeInjection.exe 





图 27-13 ”运行 CodeInjection.exe 
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27.5.4 ”线程 开始 代码 


运行 CodeInjection.exe 进 程 ， 代 码 注 入 成 功 后 ， 调 试 器 就 会 暂停 在 被 注入 的 线程 代码 的 开始 
位 置 ， 如 图 27-14 所 示 。 调 试 器 准确 暂停 在 ThreadProc0 函 数 开始 的 位 置 ， 由 此 开始 调试 即 可 。 











aasit 56 PUSH ESI E 
Qa510554| 8875 08 MOU ESI DWORD PTR SS:tEBP*83 [IEBP+8) = lParam = address of THREAD_PARAM| 
00610087] SBOE MOU ECX, DWORD PTR DS: CESI] 1 | 
PR5188993| SD46 a8 LER ERX,DWORD PTR DS:[ESI+S] [EAX = "user32.dll” 
06518880| se PUSH ERX 
GecibeoD|  FFDI CALL ECX 
Gecieoor|  S5Ce TEST EAX, EAX 
Be6168811|、75 OA JNZ SHORT 00619010 

B8 01000009 MOU EAX, i 

5E POP ESI 

sp POP EBP 

1 C2 0400 RETH + 

&6618e:0| 8096 8S8000000|LER EDX, DWORD PTR DS:[ESI«883 f 
&esieez3| s2 PUSH EDX 
Beciee24| se PUSH ERX 
eecieozs| 8846 04 MOU EAX, DWORD PTR DS: [ES1+4] 
eestaezs| FFDO CALL EAX 
BEc<1882R|  S5cO TEST EAX, EAX 
eeeigezc|^ 74 ES JE SHORT 00610013 
gesiee2E| ea ea PUSH à 
90610639 808E 88010000 | LER ECX, DWORD PTR DS: [ES1+188] 
De516936| S1 PUSH ECX |ECX = "ReuerseCore" 
BES18637| 81C6 08010000|RDD ESI, 138 1 
B8516830| S56 PUSH ESI [ESI = "uww.reversecore.com" 
GeslpesE| éA ea PUSH à 
9esieeao| FFD0 CRLL EAX 
Was18842| 33C0 XOR EAX, EAX 
Saéi8844| 6E POP ESI 
gocis] SD POP EBP 
Becieo46| C2 0400 RETH 4 








图 27-14 SEE Af ThreadProc() PR £ft 
注意 
有 时 候 只 是 调试 器 暂停 到 此 处 , 但 是 EIP 并 未 设置 于 此 。 这 时 , 可 以 先 在 ThreadProc() 
函数 开始 的 地 址 (610000 ) 处 设置 断 点 ， 再 按 F9 运行 键 ， 这 样 运行 控制 流 就 会 准确 到 
达 设 有 断 点 的 地 址 (610000) 处 。 


610004 地 址 处 的 MOV ESLDWORD PTR SS:[EBP+8] 指 令 中 ，[EBP+8] 地 址 就 是 ThreadProc() 
消 数 的 lParam 参数 ,而 参数 lParam 则 指向 被 一 同 注入 的 THREAD_PARAM 结 构 体 ( 参考 图 27-15 )。 


gacooaca 
ga6caeaapa 
S08088EG 


SB6DBAFS 





eooaani3n 
gpasani4n 








提示 
根据 不 同 用 户 的 运行 环境 ， 上 述 地 址 可 能 标识 有 异 。 





27.6 小结 


本 章 我 们 借助 OllyDbg 的 强大 功能 学 习 了 调试 注入 代码 的 方法 ， 下 一 章 将 学 习 使 用 汇编 语言 
( 非 C 语 言 ) 创建 注入 代码 。 


Q. 我 不 太 理 解 InjectCode() 代 码 中 计算 ThreadProc() 函 数 大 小 的 方法 。 
dwSize-(DWORD)JInjectCode-(DWORD)ThreadProc; 
像 上 面 这 样 计算 ， 不 是 只 把 地 址 值 相 减 了 吗 ? 
. 在 MS Visual C++ 中 使 用 Release 模 式 编译 程序 代码 后 ， 源 代码 中 函数 顺序 与 二 进 制 代码 中 


的 顺序 是 一 致 的 。 比 如 ， 在 源 代 码 中 按照 Func10、Func20 的 顺序 编写 ， 编 译 生 成 二 进 制 
代码 后 ,二 进 制 文件 中 这 2 个 函数 的 顺序 也 是 如 此 。 查 看 InjectCode.cpp 源 代码 可 以 注意 到 ， 
我 有 意 按 照 ThreadProc()、InjectCode() 的 顺序 编写 程序 ， 所 以 在 编译 生成 的 InjectCode.exe 
文件 中 ,这 2 个 函数 也 按 相同 顺序 排列 出 现 。 又 因为 函数 名 称 就 是 函数 地 址 ， 所 以 
InjectCode-ThreadProc 做 减法 运算 后 ， 所 得 结果 就 是 ThreadProcO 函 数 的 大 小 。 
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本 章 将 学 习 使 用 汇编 语言 编写 注入 代码 的 相关 知识 与 技术 。 





28.1 目标 


首先 借助 OllyDbg 的 汇编 功能 ， 使 用 汇编 语言 编写 注入 代 码 ( ThreadProc Ki% )。 使 用 汇编 
语言 能 够 生成 比 C 语 言 更 自由 、 更 灵活 ( 非 标准 化 的 ) 的 代码 (如 : 直接 访问 栈 、 寄 存 器 的 功能 ), 
然后 将 纯 汇编 语言 编写 的 ThreadProc0 函 数 注入 notepad.exe 进 程 。 学 习 本 章 要 注意 与 前 面 讲 过 的 
(用 C 语 言 编写 的 ) ThreadProc0 比 较 ， 了 解 它们 的 不 同 点 。 


28.2 汇编 编程 


大 家 通常 使 用 C/C++ 语言 编写 程序 ， 其 中 具有 代表 性 的 开发 工具 有 Microsoft Visual C++ 与 
Borland C++ Builder. 使 用 汇编 语言 编写 程序 时 , 常用 的 开发 工具 ( Assembler ) 有 MASM( Microsoft 
Macro Assembler ), TASM ( Borland Turbo Assembler )、FASM ( Flat Assembler) 等 。. 

就 我 个 人 而 言 , 用 C/C++ 语言 编写 程序 时 使 用 MS Visual C++ 开发 工具 , 用 汇编 语言 编写 程序 
时 使 用 MASM 编 译 器 。MASM 编 译 器 支持 多 样 化 的 Macro 函 数 以 及 库 文 件 ， 编 程 时 使 用 起 来 非常 
方便 ， 其 便捷 程度 几乎 与 C 语 言 相当 。 

设置 好 MASM 编 译 器 后 ， 就 可 以 正常 进行 汇编 编程 (Assembly Programming ) 了 。 当 然 还 可 
以 在 类 似 Visual C++ 的 C 语 言 开 发 工具 中 使 用 “内 联 汇编 ”( Inline Assembly )， 将 汇编 指令 插入 C 
语言 代码 。 这 是 非常 适合 开发 人 员 的 方式 。 本 章 将 向 各 位 介绍 一 种 更 适合 代码 逆向 分 析 的 方式 ， 
就 是 使 用 OllyDbg 中 的 汇编 功能 编写 汇编 程序 。 


提示 





OllyDbg 的 汇编 功能 支持 简单 的 汇编 语言 编程 , 这 在 代码 逆向 分 析 中 相当 有 用 ( 因 
为 调试 时 经 常 需要 修改 各 处 代码 )。 





28.3 OllyDbg 的 汇编 命令 


本 节 将 使 用 OllyDbg 的 汇编 命令 编写 汇编 语言 程序 。 首 先 使 用 OllyDbg 打 开 asmtest.exe 示 例文 
fF. (asmtest.exe 是 为 进行 汇编 语言 编程 测试 而 编写 的 可 执行 文件 (无 任何 功能 ))， 如 图 28-1 所 示 。 

从 代码 区 域 的 顶端 部 分 ( 401000 ) 开始 看 起 ， 先 向 大 家 介绍 一 个 OllyDbg 的 新 命令 New origin 
here， 它 把 EIP 更 改 为 指定 地 址 。 在 OllyDbg 的 代码 窗口 中 移动 光标 到 401000 地 址 处 ， 在 鼠标 右键 
菜单 中 选择 New origin here(Ctrl+Gray*) 菜 单 命令 ， 如 图 28-2 所 示 。 


28.33 OllyDbg 的 汇编 命令 
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9049109891 MOU EBP, ESP 
Ba461893|| . sace XOR EAX, EAX 
094091905 50 POP EBP 
00401206 ca RETN 
9049091997 cc INT3 
90491008 cc INTS 
90491809 cc INT3 
eo4oiaan cc INTS 
00491308 CC INTS 
00401909C CC INT3 
00401960. CC INTS 
0640180E cc INTS 
90401820F cc INTS 
88491919|『s 55 PUSH EBP main() 
50401011 SBEC MOU EBP, ESP 
30491912 Ea ESFFFFFF |CALL 00401000 
00401018 sp POP EBP 
20401013 ca RETN 
$0401818| $ 3B@D O4R8400| CMP ECX, DWORD PTR DS: [400094] 
96491629| .. 75 02 JNZ SHORT 00491024 
20401022 F3: PREFIX REP: 
$0401823| . C3 RETN 
00491824| >, E9 85010000 |JMP 694911RE 
6n4üige9 rs SBFF MOV EDI,EDI 
86481828|| ， 55 PUSH EBP 
98d4ala2C|| 。 8s8EC HOU EBP,ESP 
ap46162E|| ， 833D 48AC400 CMP DWORD PTR 0S:[46RC48], 
De4eiess||., 74 es JE SHORT 8948163C 
&54ni237||. Ee RBereeee |CALL 004017E7 
Ga491asc||» FF75 es PUSH DWORD PTR SS:LEBP+8J 
Bo4eiGsr||. Ee Feeseaoe |CALL 06046163C 
&0401844'|. 68 FFeeeeoe | PUSH BFF 
00401043 ES 3Re3e000 |CALL 00401388 
B0401B4E 59 POP ECX kernel32.77181174 
9040194F 59 POP ECX kernel32.771B1174 
图 28-1 asmtest.exe 
Hit trace » 
Run trace » 





Follow in Dump , 


View call tree Ctrl«K 
图 28-2 New origin here(Ctrl+Gray) 菜 单 命令 


执行 菜单 命令 后 ，EIP 地 址 变 为 401000， 如 图 28-3 所 示 。 







eosciose 

















. 33C9 XOR EAX, EAX panganga 

. 50 POP EBP EDX 772864F4 ntdll.KiFast 
. £8 RETN EBX ?FFDCOGG 
| 20401827 CC INT3 ESP W012FFSC 
[20401098 INT3 EBP 0Ə12FF49 
ESI 09090000 


eocoaaaoo 





32bit OLFFFF 
32bit @(FFFF 






ES 0023 
CS 8018 











图 28-3 HEIP 
调试 时 常常 需要 更 改 EIP 值 ， 所 以 New origin here 菜 单 非常 有 用 ， 和 希望 各 位 记 住 它 。 


提示 
New origin here 命令 仅 用 来 改变 EIP 值 , 与 直接 通过 调试 方式 转 到 指定 地 址 是 不 一 
样 的 ， 因 为 寄存 器 与 栈 中 内 容 并 未 改变 。 


在 401000 地 址 处 执行 汇编 命令 ( 快捷 键 : Space ), 将 弹出 输入 汇编 命令 的 窗口 , 如 图 28-4 所 示 。 
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[PUSH EBP +] 





图 28-4 汇编 功能 
接 下 来 就 可 以 在 OllyDbg 中 编写 简单 的 汇编 语言 程序 了 。 
gt ——— ————— n 
建议 大 家 在 图 28-4 中 取消 (uncheck ) 对 “Fill with NOP's" biż. OllyDbg 的 汇 
编 命令 用 来 向 相应 地 址 输入 用 户 代码 。 若 “Fill with NOP’s” 项 处 于 复 选 状态 ,输入 代 
码 长 度 短 于 已 有 代码 时 ， 剩 余 长 度 会 填充 为 NOP ( No Operation ) 指令 ， 以 整体 对 齐 代 
码 (Code Alignment )。 为 便于 本 章 说 明 ， 我 取消 了 对 “Fill with NOP's” 项 目的 复 选 。 


28.3.1 编写 ThreadProc() 函 数 


下 面 使 用 汇编 语言 编写 ThreadProc0) 函 数 。 与 前 面 使 用 C 语 言 编写 的 ThreadProc() 函 数 相 比 ， 
其 不 同 之 处 在 于 ,需要 的 Data (FE) 已 包含 在 Code 中 。 请 各 位 参考 图 28-5 输 入 汇编 指令 。 各 
条 汇编 指令 的 作用 将 在 后 面 讲解 ( 输入 时 注意 取消 对 “Fil with NOP'S” 的 复 选 ， 若 出 现 误 录 ， 
转 到 相应 地 址 处 重新 输入 即 可 )。 







NN TNT 
USH EBP 















f 8858168060 


55 
80581801 8BEC HDU EBP,ESP 
60581983 8875 @8 MOU ESI,DWORD PIR SS:[EBP«8] 
86401006 68 6D6t0088 | PUSH 6C6C 
00591098 68 33322E64 | PUSH 652E3232 
90581818 68 75736572 |PUSH 72657375 
80581015 5h PUSH ESP 
00501016 FF16 EALL DWORD PIR DS:[ESI] 
| | 09421018 68 6F788400 | PUSH 41786F 
80581810 68 61676552 |PUSH h2656761 
90501022 68 D657373 |PUSH 7373654D 
90501027 5h PUSH ESP 
89481628 58 PUSH EAX 
CALL DWORD PTR DS:[ESI?4] 
PUSH B 














图 28-5 输入 ThreadProc() 


自 上 而 下 依次 输入 汇编 指令 ， 直 到 40102E 地 址 处 的 CALL 指 令 为 止 ， 各 位 的 输入 都 正确 吗 ? 
接 下 来 ， 继 续 输入 字符 串 。 请 先 关闭 Assemble 窗 口 ， 在 OllyDbg 代 码 窗口 中 ， 移 动 光标 至 401033 
地 址 处 ， 打 开 Edit 窗 口 〈 快捷 键 : Ctrl+E )， 如 图 28-6 所 示 。 


e [Rever eCore — 
UNE [ 3 fe — — — — — — — —1] 


HEX «0C F 65 76 65 72 73 65 43 6F 72 65 88 


acp 


teen | 
图 28-6 输入 字符 串 
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在 图 28-6 的 Edit 窗 口 向 ASCII 项 输入 “ReverseCore"。 因 字符 串 必 须 以 NULL 结 束 ， 故 在 HEX 
项 的 最 后 输入 00 值 ( 取消 Keep size 选 项 )。 像 这 样 完成 全 部 输入 后 ， 在 OllyDbg 中 查看 代码 ， 如 
图 28-7 所 示 。 


8856819029 FF56 04 CALL DWORD PTR DS:[ESI*A] 
88486182C 68 B8 PUSH 8 
E8 SCO88888 |CALL 8 











68481048/|? F8 CLC 
88301854 | ? 85 8080068FF |RDD ERX,FF680808 
69501856]| ? 60808 š ADD BYTE PTR DS:[ERX],RL 


图 28-7 “ReverseCore” 字 符 串 区 域 


图 28-7 中 灰色 部 分 即 是 “ReverseCore” 字 符 串 区 域 ， 可 以 看 到 字符 串 使 用 非常 奇怪 的 指令 进 
行 显示 。 这 样 显示 的 原因 在 于 ，OllyDbg 的 Disassembler ( 反 汇编 器 ) 将 字符 串 误 认为 IA-32 指 令 
了 。 其 实 ， 这 是 由 于 输入 者 在 Code 位 置 输入 字符 串 引 起 的 ， 是 输入 者 的 错 ， 而 不 能 怪罪 OllyDbg 
WJ T u 

提示 





调试 时 常常 会 遇 到 这 种 反 汇 编 (Disassemble ) 问题 ， 有 些 反 调试 技术 正 是 利用 了 
这 一 点 ， 后 面 讲解 反 调 试 时 再 向 大 家 介绍 。 


如 图 28-7 所 示 ， 选 中 字符 串 后 再 执行 Analysis 命 令 (快捷 键 : CtrlHA )， 得 到 图 28-8。 


88581688 
885816081 8B DB 8B 

885016082 EC DB EC 

60591083 8B DB 8B 

885010854 75 pB 75 

88581685 68 DB 88 

80501886| . 68 óC 6C 88 |ASCIT "hll",8 

80581008 88 DB 88 

80401608B 68 DB 68 

68581886 33 DB 33 

084810060 32 DB 32 

00461688E 2E DB 2E 

6858188F 65 DB 6h 

00501018| $ 68 75736572 | PUSH 72657375 

805816815 5h DB 55 

885816016 FF DB FF 

60501017 16 DB 16 

88581018 68 DB 68 

80501019 óF DB óF 

80501018] $, 78 #1 JS SHORT 66858185D 

8858101C| . 8068 61 ADD BYTE PTR DS:[EAN+61] ,CH 
80580101F| . 7:65:42 INC EDX 

804501822, . 68 5D657373 |PUSH 7373654D 

004581027, . 54 PUSH ESP 

80581028| . 58 PUSH ERX 

80501829| $ FF56 84 CALL DUORD PTR DS:[ESI*4] 
8658102C| . ó 88 PUSH 8 
00401682E CALL 88040183F 













































^ |RSCII "? 
DB F8 


图 28-8 ”执行 Analysis 命 令 


08648103F 
00481048 
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提示 二 = 
OllyDbg 的 Analysis 命令 用 来 再 次 分 析 代 码 ， 再 分 析 Unpack ( 解码 的 ) 代码 时 经 


常用 到 。 





图 28-8 中 的 代码 是 执行 了 Analysis 命 令 之 后 的 形式 。 在 401033 地 址 处 可 以 清晰 地 看 到 前 面 输 
入 的 字符 串 “ReverseCore”"， 但 是 401000 地 址 之 后 的 指令 却 解 析 有 误 ( OllyDbg 2.0 也 无 法 将 代码 
与 数据 100% 区 分 开 来 。 事 实 上 ， 机 器 本 身 很 难 分 清 它 是 字符 串 还 是 指令 )。 在 图 28-8 中 难以 查看 
代码 ， 使 用 鼠标 右键 菜单 中 的 Analysis-Remove analysis from module 命 令 可 以 将 代码 恢复 原样 。 
使 用 Remove analysis 命 令 恢 复 代 码 ， 如 图 28-9 所 示 。 


xecutable 








Ctrl+O 





x Appearance 





图 28-9 Remove analysis from module É. 


接 下 来 ， 使 用 汇编 命令 从 40103F 地 址 处 (位 于 401033 地 址 的 “ReverseCore” 字 符 串 后 面 的 
地 址 ) 开始 继续 输入 指令 如 图 28-10 所 示 。 


[EREENES —— — 





T^ Fil with NOP's Cancel | 





图 28-10 ”从 40103F 地 址 处 开始 输入 指令 


然后 使 用 编辑 命令 ,在 401044 地 址 处 输入 字符 串 (“wwwreversecore.com”， 不 要 忘记 在 最 后 
添上 NULL ) 如 图 28-11 所 示 。 









UNICODE $5 PT nm 
HEX +14 [77/27 77 2E 72 65 76 i872 73 65 63 
6F 72 65 2E 63 6P eb [Bi] | 


I" Keep size el 
图 28-11 输入 字符 串 








再 次 使 用 汇编 命令 从 401058 地 址 处 开始 输入 指令 ， 如 图 28-12 所 示 。 


fe (c T d modi Du 


80401058 [T] 09 









S:[49803C] 
nX*480080] ,1559 





图 28-12 ”汇编 代码 输入 完成 
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至 此 已 将 ThreadProc0 代 码 全 部 输入 。 图 28-13 显 示 了 所 有 输入 的 代码 ， 请 各 位 对 照 查看 自己 


输入 的 代码 是 否 正确 。 

55 
80581881 8BEC 
88480190803 8875 608 
905018606 68 6C6CB8888 
868581888 68 33322E65 
88581018 68 75736572 
80458016815 5h 
88581016 FF16 
860501618 68 6F784198 
8658101D 68 61676552 
88481022 68 54D657373 


065016027 54 
88581028 58 


60481829 FF56 85 
8658182C€ 68 B8 
8058182E ES BCOB80888 
88581833 52 

8858180354 65:76 65 
980501837|, 72 73 
805816839 65:53 


80649103B óF 
8058183C|, 72 65 


88048183E 80E8 
80481848 14 88 
80481852 68888 


885018h5h|., 77 77 
90581856,, 77 2E 
80501048]. 72 65 
880501850), 76 65 
805010n5C|., 72 73 


90401 HLE 65:636F 72 
80501852 65: 
865819053 2E:636F 6D 
80501857 0868 08 
80401865A FFD8 
89848185C 33t68 
88648185E 8BE5 


88581068, 5D 
980581861 t3 





PUSH EBP 
MOU EBP ,ESP 

MOU ESI,DUDRD PTR SS:[EBP+8] 
PUSH 6C6C 

| PUSH 642E3233 

PUSH 72657375 

PUSH ESP 

CALL DWORD PTR DS:[ESI] 

PUSH 41786F 

PUSH 42656761 

PUSH 7373654D 

PUSH ESP 

PUSH EAX 

CALL DWORD PTR DS:[ESI«A] 

| PUSH 8 

CALL 8858183F 

PUSH EDX 

| JBE SHORT 88481869C 

| JB SHORT 884816AC 

INC EBX 

BUTS DX,DWORD PTR ES:[EDI] 
JB SHORT 084819A3 

ADD AL,CH 

ADC AL,8 

ADD BYTE PTR DS:[EAX],AL 

JA SHORT 881818BD 

JA SHORT 88581876 

JB SHORT 684618AF 

JBE SHORT 00491681 

JB SHORT 804810C1 

ARPL WORD PTR GS:[EDI*72],BP 
PREFIX 6S: 

ARPL WORD PTR CS:[EDI*óD],BP 
ADD BYTE PTR DS:[EDX],CH 
CALL EAX 

XOR EAX,EAX 

HOU ESP ,EBP 

POP EBP 

RETN 





图 28-13  ThreadProc()fC i3 


提示 


401033、401044 地 址 中 的 内 容 不 是 指令 ， 而 是 


字符 串 。 由 于 OllyDbg 会 将 字符 串 


识别 为 指令 ， 所 以 字符 串 看 上 去 有 些 怪异 。 





28.3.2 ”保存 文件 





编 好 代码 后 要 保存 。 在 OllyDbg 代 码 菜单 中 , 选择 鼠标 右键 Copyto executable-All modifications 


菜单 (参考 图 28-14 )。 


Find references to 











图 28-14 Copy to executable-All modifications3i É. 


如 图 28-15 所 示 ， 弹 出 确认 消息 框 ， 单 击 “Copy all” #z£H. 
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i 





Copy selection to executable file? 





Cancel | 
图 28-15 单 击 “Copy all” 按 钮 
然后 弹出 窗口 ， 显 示 所 有 修改 内 容 ， 在 鼠标 右键 菜单 中 选择 Save file 项 目 ， 如 图 28-16 所 示 。 














Ctrl+G 


[428-16 Save file 菜 单项 目 


之 后 弹出 保存 文件 对 话 框 ， 输 入 文件 名 称 ( asmtest_patch.exe ) 后 保存 。 
常用 OllyDbg 命令 快捷 键 

Assemble(Space): 输入 汇编 代码 。 

Analysis(Ctrl+A): 再 次 分 析 代 码 。 

New origin here(Ctrl-Gray*): 更 改 EJP。 





284 ”编写 代码 注入 程序 
本 节 将 使 用 前 面 创 建 好 的 汇编 代码 编写 代码 注入 程序 (Injector )。 
28.4.1 获取 ThreadProc() 函 数 的 二 进 制 代码 


首先 , 使 用 OllyDbg 工 具 打 开 前 面 创建 的 asmtest_ patch.exe 文 件 。 我 们 前 面 编写 的 ThreadProc0) 
函数 地 址 为 401000， 在 内 存 窗 口中 转 到 401000 地 址 处 (转移 命令 Ctrl+G )， 如 图 28-17 所 示 。 








, 08 66 39 85 88 88 48 88 75 38 A1 3C 88 nD ]?F9 3 .(3.u8?.(a 


图 28-17 转 到 401000 地 址 处 
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ThreadProc0 函 数 的 地 址 区 间 为 401000~401061。 如 图 28-17 所 示 ， 选 中 该 地 址 区 域 ， 在 鼠标 
右键 菜单 中 依次 选择 Copy-To file 项 目 (参考 图 28-18 )。 








Backup » ' 





To clipboard Ctrl+C 
=m 


bj To 
Í 





图 28-18 Copy-To file% 


接着 ,使 用 文本 编辑 器 打开 刚刚 保存 的 文件 (我 使 用 的 文本 编辑 器 为 GVIM， 各 位 也 可 以 使 
用 自己 熟悉 的 文本 编辑 器 )。 

图 28-19 中 显示 的 文本 内 容 即 为 以 Hex 值 形式 表示 的 ThreadProc(0 函 数 ， 它 们 其 实 是 一 系列 的 
IA-32 指 令 ， 也 是 要 注入 目标 进程 的 代码 。 









图 28-19 ”文本 编辑 器 
提示 
IA-32 指令 解析 方法 请 参考 第 49 章 。 


如 图 28-20 所 示 编 辑 文 本 文件 ， 去 除 不 必要 的 部 分 ， 每 个 字 节 前 面 加 上 前 级 0x， 各 字 节 以 去 
号 (,) 分 隔 。 适 当 应 用 文本 编辑 器 的 编辑 功能 (选择 列 、 修 改 字符 串 ) 将 带 来 很 大 便利 。 





» 8x73, 8x65, 
, 8x00, 8x68, 
» 8x73, 0x54, 
, 8x88, 0x00, 
, 8x43, OxóF, 
» 8x77, 0x77, 
, 8x65, 8x63, 
> 8xó6R, 8x08, 











图 28-20 ”编辑 内 容 


观察 图 28-20 中 编辑 的 文本 内 容 ， 它 们 看 上 去 就 像 C 语 言 中 的 字 节 数组 ， 这 就 是 要 注入 的 Hex 
代码 (CodeInjection2.cpp 文 件 中 会 用 到 )。 





28.4.2 Codelnjection2.cpp 
本 节 看 看 代码 注入 程序 的 源 代 码 ( CodeInjection2.cpp )。 从 代码 28-1 中 可 以 看 到 ， 图 28-20 中 
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使 用 文本 编辑 器 编辑 的 Hex 代 码 被 保存 到 名 为 g_InjectionCode 的 字 节 数组 。 
提示 
以 下 源 代 码 使 用 MS Visual C++ 2010 Express Edition 编写 而 成 ,在 Windows XP/7 32 
位 操作 系统 中 通过 测试 。 为 便于 说 明 ， 代 码 中 的 返回 值 检查 与 异常 处 理 代码 均 已 省 略 。 


代码 28-1 Codelnjection2.cpp 


typedef struct THREAD PARAM 


1 
FARPROC pFunc[2]; // LoadLibraryA(), GetProcAddress() 


) THREAD PARAM, *PTHREAD PARAM; 


// ThreadProc() 
BYTE g InjectionCode[] = 


1 
0x55, 0x8B, OxEC, 0x8B, 0x75, 0x08, 0x68, 0x6C, Ox6C, 0x00, 
0x00, 0x68, 0x33, 0x32, Ox2E, 0x64, 0x68, 0x75, 0x73, 0x65, 
0x72, 0x54, OxFF, 0x16, 0x68, Ox6F, 0x78, 0x41, 0x00, 0x68, 
0x61, 0x67, 0x65, 0x42, 0x68, 0x4D, 0x65, 0x73, 0x73, 0x54, 
0x50, OxFF, 0x56, 0x04, 0x6A, 0x00, OxE8, OxOC, 0x00, 0x00, 
0x00, 0x52, 0x65, 0x76, 0x65, 0x72, 0x73, 0x65, 0x43, Ox6F, 
0x72, 0x65, 0x00, OxE8, 0x14, 0x00, 0x00, 0x00, 0x77, 0x77, 
0x77, Ox2bE, 0x72, 0x65, 0x76, 0x65, 0x72, 0x73, 0x65, 0x63, 
Ox6F, 0x72, 0x65, Ox2E, 0x63, Ox6F, Qx6D, 0x00, 0x6A, 0x00, 
OxFF, OxDO, 0x33, 0xCO, 0x8B, OxE5, Ox5D, 0xC3 
3 
/* 
// ThreadProc() 
55 PUSH EBP 
8BEC MOV EBP,ESP 
8B75 08 MOV ESI,DWORD PTR SS:[EBP-48]. 
68 6C6C0000 PUSH 6C6C 
68 33322b64 PUSH 642bE3233 : 
68 75736572 PUSH 72657375 
54 PUSH ESP 
FF16 CALL DWORD PTR DS:[ESI] 
68 6F784100 PUSH 41786F 
68 61676542 PUSH 42656761 
68 4D657373 PUSH 7373654D 
54 PUSH ESP 
50 PUSH EAX 
FF56 04 CALL DWORD PTR DS:[ESI«4] 
6A 00 PUSH 0 
E8 0C000000 CALL 0040103F 
ASCII "ReverseCore" 
E8 14000000 CALL 00401058 
ASCII "www.reversecore.com" 
6A 00 PUSH 0 
FFDO CALL EAX 
33C0 XOR EAX,EAX 
8BE5 MOV ESP,EBP 
5D POP EBP 
C3 RETN 
T 


BOOL InjectCode(DWORD dwPID) 
1 
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HMODULE hMod = NULL; 
THREAD PARAM param = (0,7; 
HANDLE hProcess = NULL; 
HANDLE hThread = NULL; 
LPVOID pRemoteBuf [2] = (0,); 


hMod = GetModuleHandleA("kernel32.dll"); 


// set THREAD PARAM 
param.pFunc[0] = GetProcAddress(hMod, "LoadLibraryA"); 
param.pFunc[1] = GetProcAddress(hMod, "GetProcAddress"); 


// Open Process 

hProcess = OpenProcess(PROCESS ALL ACCESS, 
FALSE, 
dwPID); 


// Allocation for THREAD PARAM 
pRemoteBuf[0] = VirtualAllocEx(hProcess, 
NULL, 
Sizeof(THREAD PARAM), 
MEM COMMIT, 
PAGE READWRITE); 


WriteProcessMemory (hProcess, 
pRemoteBuf [0], 
(LPVOID)&param, 
sizeof (THREAD PARAM), 
NULL); 


// Allocation for g InjectionCode 
pRemoteBuf[1] = VirtualAllocEx(hProcess, 
NULL, 
sizeof(g InjectionCode), 
MEM COMMIT, 
PAGE EXECUTE READWRITE); 


WriteProcessMemory(hProcess, 
pRemoteBuf[1], 
(LPVOID)&g InjectionCode, 
sizeof(g InjectionCode), 
NULL) ; 


hThread = CreateRemoteThread(hProcess, 
NULL, 
9, 
(LPTHREAD START ROUTINE)pRemoteBuf [1], 
pRemoteBuf [0] , 
9, 
NULL) ; 


WaitForSingleObject(hThread, INFINITE); 


CloseHandle(hThread); 
CloseHandle(hProcess); 


return TRUE; 


代码 28-1 中 的 注入 代码 与 前 面 讲 过 的 CodeInjection.cpp 代 码 类 似 (调用 的 API 也 一 样 )。 但 它 
们 最 大 的 不 同 在 于 ， 代 码 28-1 中 的 注入 代码 本 身 同 时 包含 着 代码 所 需 的 字符 串 数据 。 所 以 
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THREAD PARAM 结构 体 中 并 不 包含 字符 串 成 员 , 并 且 图 28-20 中 的 指令 字 节 数组 ( g_InjectionCode ) 
替代 了 用 C 语 言 编 写 的 ThreadProc() 函 数 。 若 程序 编写 得 更 巧妙 一 些 , 甚至 都 可 以 不 用 THREAD -. 
PARAM 结构 体 。 每 个 人 的 具体 实现 细节 都 是 不 同 的 ， 可 以 根据 自己 的 需要 调整 。 重 要 的 是 ， 
方法 的 实质 都 是 一 样 的 ， 即 编写 汇编 代码 ， 将 生成 的 指令 内 联 在 注入 程序 的 源 代码 中 ， 进 而 
将 其 注入 目标 进程 。 将 代码 成 功 注 入 目标 进程 后 ， 下 面 我 们 将 通过 调试 来 分 析 各 汇编 代码 的 
S3. 

提示 

将 上 面 的 CodeInjection2.cpp 与 上 一 章 中 的 CodeInjection.cpp 源 代 码 比 较 ， 可 以 明 
显 看 出 它们 的 不 同 之 处 。 


28.5 ”调试 练习 
本 节 将 notepad.exe 进 程 注入 使 用 汇编 语言 编写 的 代码 ， 并 通过 调试 了 解 其 工作 原理 。 


28.5.1 调试 notepad.exe 


使 用 OllyDbg 工 具 打 开 notepad.exe 文 件 开始 调 试 。 如 图 28-21 所 示 , 按 F9 运 行 键 , 使 notepad.exe 
处 于 Running (运行 ) 状态 。 



































Bo06368E| . 6A 58 PUSH 58 
80D636290| . 68 R037D600 PUSH DB6D637RB 
BaDese6s5| . ES 72040000 CALL aeaDesBac 
aemDesesn| . SSDB XOR EBX, EBX 
gaD6269C| . 895D E4 MOU DWORD PTR SS:LEBP-1C1,EBX 
88D6269F| . 895D FC MOU DWORD PTR SS:[EBP-41,EBX 
eapésea2| . 8045 98 LER EAX, DWORD PTR SS:rEBP-681 
98D636RS| . 568 PUSH EAX pStartupinfo = ØBØSAGAZA 
gaD626A6| . FF15 FC100600 CALL DWORD PTR DS: LX&KERNEL32. Gi E GetStartupInfoR 
aDesénc| . C745 FC FEFFFFFF |MOU DWORD PTR SS;LEBP-41,-2 
jeeneseBs| . C745 FC 0100009000 |MOU DWORD PTR SS:[EBP-41, i 
BEDSSEBA| . $64:R1 18000000 MOU ERX,DWORD PTR FS: C18] 
j9enesece| . 8870 84 MOV ESI,DWORD PTR DS: CEAX+4] 
jeenesecs| . BF SCCaDeee MOU EDI,G8D6C25C 
BDesecs| > 6A 69 PUSH à Arg3 = 00000000 
BDESECA| . 56 PUSH ESI Arg2 = 0013FC2C 
enesecB| . 57 PUSH EDI Argi = ?5998F97 
anesecc| . FF1S 00110600 CALL DWORD PTR DS: [<&KERNEL32, I] b Inter LockedComnpareERchanae 
6D636D2| . ssca TEST EAX, EAX 








图 28-21 调试 notepad.exe 进 程 


28.5.2 i& B OllyDbg 选项 


进行 代码 注 和 人 时 要 在 目标 进程 创建 新 线程 ， 如 图 28-22 所 示 , 设置 好 OllyDbg 的 选项 即 可 从 注 
入 的 线程 代码 开始 调试 。 
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egisters | Stack | Anapsist | Ansbsis2 | Ansbsis3 | 


| Commands | Disaem 
Exceptions | Trace | SFx | Strings | Addresses | 


Security | Debug | 













Make first pause at: 
€ System breakpoint 
(* Entry point of main module 
C WinMain [if location is known) 


[^ Break on new module (DLL) 
I! Break o on module [DLL] unloading 






[^ Break on debug string 





图 28-22” 复 选 Break on new thread 项 


这 样 ，notepad.exe 进 程 中 有 新 线程 生成 时 ， 调 试 器 就 会 暂停 在 相应 线程 函数 的 开始 代码 处 。 


28.5.3 运行 Codelnjection2.exe 
首先 ， 使 用 Process Explorer 查 看 notepad.exe 进 程 的 PID， 如 图 28-23 所 示 。 










E| al = 










j| Process PID CPU Description 
& E| System Idle Process 0 96,92 
csrss.exe 344 Client Server Runtime P... 
8 wininit.exe 380 Windows 
csrss, exe 392 Client Server Runtime P., 










m" winlogon,exe Windows 
explorer,exe i460 — Windows 


"ds 


otepad.exe 


















| Type Name | 
[Desktop Default an 
Directory %#KnownDIlls ko 
Directory WSessionsW1WBaseNamedObjects | 
File CWWindowstéSystem32 
File CN WindowstSwinsxssWx85 microsoft,windows,common-cor 





jFile CA Windows* System32Wko-KRSWnotepad,exe,.mui | 
| HKLMWSOFTWAREWMicrosoft%windows enty ors! -a 















CPU! Usage: 3.08% firai it Charge: 27. E OMNE es: ak asa uiam 4 


图 28-23 ”notepad.exe 进 程 的 PID 


以 PID 值 作为 参数 , 在 命令 行 窗口 中 运行 CodeInjection2.exe ( 以 管理 员 身 份 运行 ), 如 图 28-24 
所 示 。 
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M 











poration. fill rights 





图 28-24 ”运行 CodeInjection2.exe 


28.5.4 ”线程 起 始 代码 


运行 CodeInjection2.exe 程 序 完 成 代码 注入 后 ， 调 试 需 会 暂停 在 被 注入 的 线程 代码 的 起 始 位 
置 ， 如 图 28-25 所 示 。 













SBEC 
8675 BS 

68 6ceécaman 
68 33322E64 
68 75736572 
54 


FF16 

68 6F784100 
68 61676542 
68 4D657373 
54 










EP ——— 





EAX | 
DWORD PTR DS:IESI«41 | 
a 
B820883F i 
SH EDX | 
5:7 JEE SHORT BaeDaaec | 
v 72 73 JE SHORT GBeDOBRC | 
65:43 INC EBX 
EF DUTS DX, DWORD PTR ES: CEDI] 
v 72 65 |J& SHORT 682D88A3 
BES | ADD AL, CH 
14 B8 |BDC AL, ë 
Bonn | ADO BYTE PTR DS:LERX1,RL | 
7? T? SHORT BB2DBBBD | 





SHORT 002D0076 
HORT Ga2naagr 
SHORT _B82D66B1 
SHORT aa2npaaci 
BRPL WORD PTR GS: [EDI+72],BP 


< < << < 














| 
i 
| 
| 
PREFIX GS: | 
jBRPL WORD PTR CS: LEDI*éD1, BP 
8688 an |BDD BYTE PTR DS:LEDX1,CH 
FFBB | ERLL ERX 
33C6 {XOR EAX, EAX 
3BES | MDu ESP, EBP 
SD | POP EBP 
c3 RETN | 


图 28-25 ”被 注入 的 代码 : ThreadProc() 


不 同 运行 环境 下 代码 起 始 地 址 (2D0000 ) 不 同 。 





下 面 详细 分 析 图 28-25 中 的 代码 。 
28.6 ”详细 分 析 
28.6.1 生成 栈 帧 


002D0000 55 PUSH EBP ; # ThreadProc() 
002D0001 8BEC MOV EBP,ESP 


上 面 是 2 条 典型 的 生成 栈 帆 指令， 对 它们 感到 陌生 的 朋友 可 以 趁 此 机 会 记 住 : 55 8BEC。 2 
面 出 现 的 指令 使 用 压 字 符 串 入 栈 的 技术 ， 生 成 栈 帧 就 可 以 在 ThreadProc0) 函 数 终 止 时 将 栈 清 
+ë, 
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28.6.2 THREAD PARAM 结构 体 指 针 


002D0003 8B75 08 MOV ESI,DWORD PTR SS:[EBP+8] 


生成 栈 帧 后 ，[EBP+8] 是 传人 函数 的 第 一 个 参数 ， 这 里 指 THREAD_ PARAM 结构 体 指针 。 下 
面 是 THREAD_PARAM 结 构 体 的 定义 ， 它 的 成 员 是 2 个 函数 指针 ， 分 别 用 来 保存 LoadLibraryA0 
与 GetProcAddress() 的 图 数 指针 (〈 谁 获取 了 图 数 指针 并 保存 呢 9 对 ， 就 是 前 面 讲 过 的 
CodelInjection2.exe 程 序 ， 它 获取 了 函数 的 指针 ， 向 notepad.exe 注 入 完成 并 运行 线程 时 以 参数 形式 
保存 )。 


typedef struct THREAD PARAM 
1 


FARPROC pFunc[2]; // LoadLibraryA(), GetProcAddress() 
) THREAD PARAM, *PTHREAD PARAM; 


执行 完 2D0003 地 址 处 的 MOV ESLDWORD PTR SS:[EBP+8] 指 令 后 , 进入 ESI 寄 存 器 存储 的 地 
址 查看 ， 如 图 28-26 所 示 。 





FUSH EBP 
DO2DBBD1| | MOU EBP, ESP 
(EST; DHDRD PTR SS: [EBP+8JE 
EE PUSH &d2E2233 EBS 0020000 
EC Sas =| ESP 8219FCEG 


Sta SS: [ñ219FCES81=0082800600 
ESI=0023506000D 


图 28-26 查看 THREAD PARAM 结构 体 


寄存 器 ESI 中 存储 的 地 址 为 28000, 该 地 址 是 CodeInjection2.exe 为 THREAD PARAM 结构 体 在 
notepad.exe 进 程 内 存 空 间 中 分 配 的 内 存 缓冲 区 地 址 。 
Ju =s T 
不 同 用 户 系统 环境 下 THREAD PARAM 结构 体 地 址 (280000 ) 不 同 。 


观察 图 28-26 中 的 内 存 窗口 可 以 看 到 ，280000 地 址 处 存储 着 2 个 4 字 节 的 值 ， 它 们 就 是 函数 
LoadLibraryA() 与 GetProcAddress() 的 起 始 地 址 。 为 了 更 直观 地 查看 函数 的 起 始 地 址 ， 需 要 设置 
OllyDbg 内 存 窗口 的 视图 选项 。 先 移动 光标 到 内 存 窗口 ， 然 后 在 鼠标 右键 菜单 中 依次 选择 
Long-Address 项 目 ， 如 图 28-27 所 示 。 








88 88 88 00 88 88 69| ------- 
88 80 88 00 80 00 00 ....... 
88 80 08 00 86 88 00|....... 
68 00 98 08 88 88 88|....... 
Signed decimal 
Unsigned decimal 
Hex 


| Y Hex 






Address with ASCI dump 
Address with UNICODE dump 


图 28-27 Long-Address 43i H 


274 第 28 章 使 用 汇编 语言 编写 注入 代码 








选中 图 28-27 中 的 菜单 后 ，OllyDbg 的 内 存 窗口 显示 形式 改变 ， 如 图 28-28 所 示 。 





图 28-28 ”API 起 始 地 址 


函数 地 址 如 图 显示 就 更 直观 了 。 并 且 ，Comment 栏 中 与 各 行 地 址 对 应 的 API 名 称 也 一 同 出 现 
(在 鼠标 右键 菜单 中 选择 Hex-Hex/ASCII(16bytes) 菜 单 ， 可 以 重新 显示 为 Hex 形 式 )。 


28.6.3 “User32.dll” 字 符 串 


002D0006 68 6C6C0000 | PUSH 6C6C ; "NONoll" 
002D000B 68 33322bE64 PUSH 642b3233 ; "d.23" 
002D0010 68 75736572 ， PUSH 72657375 > "nesu^ 


上 面 3 行 代 码 将 “User32.dll ”字符 串 压 人 栈 , 这 种 独特 技术 仅 用 于 使 用 汇编 语言 编写 的 程序 。 
地 址 2D0006 处 的 PUSH 6C6C 指 令 用 来 将 6C6C 压 入 栈 ， 其 中 6C 是 ASCII 码 ， 对 应 字母 “1”"， 所 以 
该 指令 最 终 压 人 栈 的 是 字符 串 “\0\011”"。 紧 接着 ，2D000B 与 2D0010 地 址 处 的 PUSH 指 令 分 别 将 字 
符 串 “d.23” 与 “resu” 压 人 栈 。 由 于 x86 CPU 采用 小 端 序 标记 法 ， 再 加 上 栈 的 逆向 扩展 特性 ， 所 
以 字符 串 被 逆向 压 人 栈 ， 请 重点 注意 这 个 调试 时 必须 掌握 的 内 容 。 

自 上 而 下 跟踪 代码 到 2D0015 地 址 处 ， 查 看 栈 ， 如 图 28-29 所 示 。 
































Hc 
OU EB # Tha 
GEREEN = 
| | 8920999 HAM :BWORD PTR SS:tEBP461 EP eee toe a Tread 
: BOBE 
|| 0200006 2E64 | PUSH E42Eszsa EDX é8eDaaoo 
(00200016 72 | PUSH 72657375 z 
~ 
|< = 上 ESI B0238388 
.[ESP-OSISFCO4, (ASCII "users. dii" FHE AOR 
| EIP 868206615 
|: A 3 
| PISFCDB| 642ES2S3 
d E EG 59 Pë CERIS Nessrcoc soncecec] 
| Qe19FCF4 UO os 28 OD 44 IE HE r= 0G OG OG Dd DÓ OO OO Ay I 
13FDB4| 00 80 28 59 0G BA GÖ BA BA OG OD BO GO OO GO BO| eee 8212FCE4|| Pr261104 


图 28-29” 栈 中 存储 着 “user32.dll” 字 符 串 


像 这 样 ， 使 用 PUSH 指 令 可 以 把 指定 字符 串 压 人 栈 。 并 且 ， 注 入 代码 时 不 必 男 外 注入 字符 串 
数据 ， 只 要 把 它们 包含 到 代码 中 ， 只 注入 代码 即 可 。 


e 还 有 一 种 将 字符 串 数据 包含 进 代 码 的 方法 ， 后 面 会 单独 介绍 。 
e 32 位 的 OS 中 ，PUSH 指令 一 次 只 能 将 4 字 节 大 小 的 数据 压 入 栈 。 





28.6.4 压 入 “user32.dll” 字 符 串 参数 


002D0015 54 PUSH ESP 


LoadLibraryA() API 拥 有 1 个 参数 ， 用 来 接收 1 个 字符 串 的 地 址 ， 该 字符 串 是 其 要 加 载 的 DLL 
文件 的 名 称 。 
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代码 28-2 ”接收 名 称 字 符 串 地 址 
HMODULE WINAPI LoadLibrary( 
. in LPCTSTR LpFiteName 
); 出 处 ，MSDN 





从 图 28-29 中 可 知 ， 当 前 ESP 的 值 为 219FCD4， 它 是 “user32.dll” 字 符 串 的 起 始 地 址 。 地 址 
2D0015 处 的 PUSH ESP 指 令 用 来 将 “user32.dll” 字 符 串 的 起 始 地 址 (219FCD4 ) EAR (参考 图 


28-30 ), 


: PUSH EBP 7 ” 
gaa kernel32.BaseThread 







RSCII "user32.dll" 


3 
EDI 88865565 
EIP GGzDGG15 





图 28-30 2D0015 地 址 处 的 PUSH 指令 


28.6.5 ”调用 LoadLibraryA( “user32.dll” ) 


002D0016 FF16 CALL DWORD PTR DS:[ESI] ; kernel32.LoadLibraryA 
如 图 28-28 所 示 ，ESI 寄 存 器 中 存储 的 地 址 值 为 280000， 该 地 址 中 保存 着 LoadLibraryAO API 
的 起 始 地 址 ( 772C2864 )， 请 看 图 28-31。 


| EAX 772C1162 ker 
3 JAAA 


63 Sr 704100 ! EUSH 41736F 


”1 7660 00 a8 09 on à 
á 50 Q0 6G G0 66 00 OB 902A OO 20 AA 
Ma aa mn malnm an AA na Pñ AA na RR RA Pñ RA AA 


图 28-31 ”ESI 寄存 器 


对 汇编 语言 内 存 引用 语法 感到 陌生 的 朋友 , 可 以 借 此 机 会 记 住 它 。 为 了 帮助 大 家 更 好 地 理解 
这 一 个 过 程 ， 我 们 把 上 面 的 CALL 指 令 展开 ， 形式 如 下 [] 类 似 于 C 语 言 中 的 指针 引用 ): 





*[ESI]=[280000]=772C2864(address of kernel32.LoadLibraryA) 
= 存储 在 280000 地 址 中 的 值 
* CALL[ESI]-CALL[280000]-CALL 772C2864=CALL Kernel32.LoadLibraryA 
执行 位 于 2D0016 地 址 处 的 CALL DWORD PTR DS:[ESH] 指 令 后 ， 就 会 调用 LoadLibraryA(0) 
API， 同 时 加 载 作 为 参数 传人 的 user32.dll 文 件 。 由 于 notepad.exe 进 程 运 行 时 已 经 加 载 了 user32.dll， 
所 以 它 只 会 返回 加 载 的 地 址 。 
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EDX 693101 Eel 
ESP 0219FCD4 ASCII "userS2.dll'" 


EDI aaaaaaona 
EIP aa2Dosis 


图 28-32 ”USER32.dll 加 载 地 址 


函数 的 返回 地 址 保存 在 EAX 中 ， 所 以 从 图 28-32 中 可 以 看 到 EAX=778E0000。 选 择 OllyDbg 菜 
单 中 的 View-Executable modules[ALT+E] 菜 单项 , 可 以 查看 加 载 到 进程 内 存 的 所 有 DLL , 如 图 28-23 
所 示 。 可 以 清楚 看 到 ，user32.dll 的 加 载 地 址 就 是 778E0000. 






























1E 
Base P | 
re5Haanaan aacaonaa| "661D458| SHELL32 (system) |6. 1.7600. 16385 |C:\Win — | 
n rriFBaan| 5897BB88| 771F1AEE| COMDLGS2 (system) |6.1.7600.16385 |C:Wim | 
| zz270000 BOGD4080| 772C10C5|kernel32 (system) |6.1.7600.1638S |C:N\din — 
| rr350000| 6986R1B56| 7738RFD4| RPCRT4 (system) 6.1.7600.1638S_|C:SWin — 
77510000 00090000| 7r75447D7| USP19 (system) |1. 0626.7600, 163] Ciim — | 
| fr5Faaoa 0004E000| 775FEC49| GDIS2 (system) |6.1.76800.16385 |C i | 
6. 1. 7600. 16385 |C i i 
— : 6. 1. 7680. 16325 | 
0| GOELCGGE| "781153B| HSC TF Isustem) |6.1.7608.15335 
aaiscaoaoa ntdll (system) |6.1.7600.16385 
00057000| ""CSR24R| SHLURPI (system) |6.1.76880,16385 
a|aencsana|?rCS23D2| CLBCatG (system) | 2001.12.8530. 15] C 








ER RRR A R L C MEINE R EEEE L E 


图 28-33 ”查看 USER32.dll 加 载 地 址 


28.6.6 “MessageBoxA” 字 符 串 


002D0018 68 6F784100 PUSH 41786F ; "NOAxo" 
002D001D 68 61676542 PUSH 42656761 $ Bega” 
002D0022 68 4D657373 PUSH 7373654D j “SseM” 


上 面 3 条 PUSH 指令 将 字符 串 EAR (与 前 面 将 字符 串 “user32.dll” 压 入 栈 
的 方法 相同 )。 调试 到 2D0022 地 址 处 的 PUSH 指 H4, 字符 串 “MessageBoxA” 被 存储 到 栈 中 ， 如 图 
28-34 所 示 。 














E: 61626542 PU 4265676 


m m 
acl DORE PTR DS:[ESI+4] kernel32.GetProcfddre 











图 28-34 ”存储 在 栈 中 的 “ "MessageBoxA" 字符 串 


28.6.7 调用 GetProcAddress(hMod, *MessageBoxA" ) 


00200027 54 PUSH ESP ; - "MessageBoxA" 
002D0028 50 PUSH EAX ; - hMod (778E0000) 
00200029 FF56 04 CALL DWORD PTR DS:[ESI«4] ; kernel32.GetProcAddress 


当前 ESP 的 值 为 0219FCC8 ( Z: [428-34 )， 所 以 2D0027 地 址 处 的 PUSH ESP 指 令 用 来 将 
"MessageBoxA" 字符 串 的 地 址 (0219FCC8 ) 压 入 栈 ( 该 字符 串 的 地 址 被 用 作 GetProcAddress() API 
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的 第 二 个 参数 ， 在 2D0029 地 址 处 调用 此 API )。 而 当前 EAX 的 值 为 778E0000， 它 是 user32.dll 模 块 
的 加 载 地 址 (参考 图 28-32 )， 所 以 2D0028 地 址 处 的 PUSH EAX 指令 用 来 将 user32.dl 的 起 始 地 址 


( hMod ) EAR (该 字符 串 的 地 址 被 用 作 GetProcAddress() API 的 第 一 个 参数 , 在 2D0029 地 址 处 调 
用 此 API )。 调 试 至 此 查看 栈 ， 如 图 28-35 所 示 。 





G219FCCC exu 
图 28-35” 栈 内 情形 
ESI 寄 存 器 的 值 为 2830000， 所 以 可 以 将 [ESIH4] 如 下 展开 (参考 图 28-28、 图 28-31 ): 


*[ESI+4]=[280004]=772C1837(address of kernel32.GetProcAddress) 
= 存储 在 280004 地 址 的 值 


*CALL [ESI-4]-CALL [280004]-CALL 772C1837=CALL Kernel32.GetProcAddress 


所 以 2D0029 地 址 处 的 CALL DWORD PTR DS:[ESI+4] d$ 4 FH 3E i] JH GetProcAddress 
(778E0000, "MessageBoxA" ) API 函数 。 执 行 该 条 CALL 指 令 后 ，user32.MessageBoxA( API 的 起 


始 地 址 就 会 保存 到 EAX 寄存 器 (系统 环境 不 同 ， 地 址 会 有 所 不 同 。 在 我 的 系统 环境 下 ， 
EAX=7793EA71 )， 如 图 28-36 所 示 。 












2080 CALL 8@820663F 
j] 2209655 PUSH EDX 
UE RING A DC CUNDT ANNARA 


š 
EDX 5686SR12 — 





[428-36 MessageBoxA() API 的 起 始 地 址 


28.6.8 JEA MessageBoxA() 函 数 的 参数 1 - MB. OK 
002D002C 6A 00 PUSH 0 


PUSH 0 指令 将 0 压 人 栈 , 07g MessageBoxA() API ( 后 面 会 调用 该 API ) 的 第 四 个 参数 (uType )。 
MessageBoxA() API 共 有 4 个 参数 ， 函 数 原型 如 代码 28-3 所 示 。 


int WINAPI MessageBox( 
__in opt HWND hWnd, 
. án opt LPCTSTR lpText, 
. in opt LPCTSTR lpCaption, 
acan UINT uType 
); 出 处 : MSDN 
提示 


uType 值 为 0， 表 示 弹 出 的 消息 对 话 框 为 MB_ OK， 仅 显示 一 个 OK ( 确定 ) 按钮 。 





28.6.9 JEA MessageBoxA() 函 数 的 参数 2 - “ReverseCore” 


002D002E E8 0C000000 CALL 002D003F 
002D0033 52 PUSH EDX 


002D0034 65:76 65 JBE SHORT 002D009C 
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002D0037 72173 JB SHORT 9002D09AC 
00200039 65:43 INC EBX 

002D003B 6F OUTS DX,DWORD PTR ES: [EDI] 
002D003C 72 65 JB SHORT 002D00A3 
002D003E 00E8 ADD AL,CH 


下 面 介绍 “使 用 CALL 指 令 将 包含 在 代码 间 的 字符 串 数 据 地 址 压 和 人 栈 ”的 技术 ， 该 技术 也 仅 
能 用 在 使 用 汇编 语言 编写 的 程序 中 。 很 明显 ,2D0033~2D003E 地 址 区 域 是 程序 代码 区 域 , 但 其 内 
容 实 为 “ReverseCore” 字 符 串 数据 。 也 就 是 说 ,“ReverseCore” 字 符 串 的 首 地 址 为 2D0033， 它 被 
HifEMessageBoxA() API 的 第 三 个 参数 ( IpCaption )。 

将 字符 串 作 为 参数 传递 给 函数 前 , 需要 先 把 字符 串 地 址 压 人 栈 , 那么 采用 哪 种 方式 好 呢 ? 继 
续 调 试 位 于 2D002E 地 址 处 的 CALL 指 令 ( StepIn(F7) )， 查 看 栈 ， 如 图 28-37 所 示 。 


SER71 USER32 .HessageBosH 
rond OFFSET USER32. #2336 
SA 


ESI 00280000 
EDI 60000000 
EIP 992099 





图 28-37 2D003F 代 码 


从 栈 中 可 以 看 到 , “ReverseCore” 字 符 串 的 起 始 地 址 2D0033 被 压 人 其 中 。 也 就 是 说 ， 
MessageBoxA() 的 第 三 个 参数 被 压 入 栈 。 这 个 “花招 ”巧妙 运用 了 CALL 指 令 的 “动作 原理 ”。 执 
行 2D0033 地 址 处 的 CALL 指 令 后 ， 函 数 ( 2D003F ) 终止 并 将 返回 地 址 ( 2D0033 ) EA (PUSH) 
栈 ， 然 后 再 跳 转 到 (JMP ) 相应 的 函数 地 址 ( 2D003F )。 也 就 是 说 ， 执 行 一 条 CALL 指 令 相 当 于 
执行 了 PUSH 与 JMP 两 条 指令 。 但 2D003F 实 际 并 不 是 函数 ， 不 具有 以 RETN 指 令 返 回 的 形态 。 此 
处 的 CALL 指 令 只 是 用 来 将 紧 接 其 后 的 “ReverseCore” 字 符 串 地 址 压 人 栈 ， 然后 转 到 下 一 条 代码 
指令 。 大 家 现在 应 该 理解 这 个 很 有 意思 的 CALL 指 令 用 法 了 。 


28.6.10 JEA MessageBoxA() 函 数 的 参数 3 - “www.reversecore.com” 


002D003F E8 14000000 CALL 002D0058 


002D0044 T i e Te JA SHORT 002D00BD 

00200046 TU 2E JA SHORT 902D0076 

00200048 72 65 JB SHORT 902D00AF 

002D004A 76 65 JBE SHORT 092D00B1 

002D004C 72 73 JB SHORT 002D00C1 

002D004E 65:636F 72 ARPL WORD PTR GS: [EDI+72] ,BP 
002D0052 65: PREFIX GS: 

002D0053 2E:636F 6D ARPL WORD PTR CS:[EDI«6D],BP 
002D0057 006A 00 ADD BYTE PTR DS:[EDX], CH 


与 “ReverseCore” 字 符 串 类 似 ， 上 面 的 代码 将 MessageBoxA() API 的 第 二 个 参数 lpText 字 符 串 
(“www.reversecore.com”) 压 人 栈 。 上 述 代码 中 的 2D0044~2D0057 地 址 区 域 并 非 代码 指令 ， 而 是 
字符 串 数 据 (“www.reversecore.com”)。 

2D003F 地 址 处 的 CALL 指 令 〈 与 前 面 说 明 的 一 样 ) 将 紧 接 其 后 的 “www.reversecore.com” 字 
符 串 的 地 址 (2D0044 ) 压 人 栈 ， 然 后 转 到 下 一 条 指令 的 地 址 处 ( 2D0058 ) ( 参考 图 28-38 )。 
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Ə92D0950] 。 FFD ERX 3 一 
793ER71 USER32. Menanam on 
BeDoosCc; 3: AX, ER. I| Ec} 778E0000 OFFSET USERS2. 82226 
G25E| SBES 886SRI12 





28.6.11 JEA MessageBoxA() 函 数 的 参数 4 -NULL 


002D0058 6A 00 PUSH 0 


上 面 这 条 指令 将 MessageBoxA() API 的 第 一 个 参数 hWnd 压 人 栈 ,， 该 参数 用 来 确定 消息 对 话 框 
所 属 的 窗口 句柄 ， 这 里 压 人 NULL 值 ， 创 建 一 个 不 属于 任何 窗口 的 消息 对 话 框 。 


28.6.12 ”调用 MessageBoxA() 


002D005A FFDO CALL EAX 


上 面 这 条 CALL 指 令 调 用 MessageBoxA() API。 指 令 中 的 EAX 寄存 器 存储 着 MessageBoxA0) 
API 的 起 始 地 址 (7793EA71 )， 该 地 址 是 前 面 调用 GetProcAddress0 后 返回 的 值 ( 参考 图 28-36、 
图 28-38 )。 调 试 2D005A 地 址 处 的 CALL EAX 指令 后 ， 查 看 寄存 器 与 栈 ， 如 图 28-39 所 示 。 


| &ezneose 
| L RETN [ EEH 


EBP B219FCEO 
ESI 0023000909 
jga 


|| < la 


21oF COC| 66206944 
2 CERERI EXE ob 








图 28-39 ”调用 MessageBoxA() 


执行 CALL EAX 指 令 即 可 弹出 消息 对 话 框 ， 如 图 28-40 所 示 。 


^ 


t ReverseCore d eie 








www.reversecore.com 


图 28-40 ”消息 对 话 框 
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28.6.13 ”设置 ThreadProc() 函 数 的 返回 值 


002D005C 33C0 XOR EAX,EAX 
注 和 人 notepad.exe 进 程 的 代码 ( ThreadProcZX FE PRA). 执行 完 之 前 ， 还 需要 做 一 些 准 备 工 作 ， 
即 用 XOR EAX,EAX 指 令 将 线程 函数 的 返回 值 设 置 为 0。 前 面 学 过 函数 的 返回 值 使 用 EAX 寄存 器 ， 
各 位 还 记得 吧 ? 
提示 
XOR EAX,EAX 指令 能 够 又 快 又 好 地 将 EAX 寄存 器 初始 化 为 0( 对 CPU 而 言 , € 
比 使 用 MOV EAX,0 指令 更 简单 快捷 )。 


“28.6.14 ”删除 栈 帧 及 函数 返回 


002D005E 8BE5 MOV ESP,EBP 
002D0060 5D POP EBP 
002D0061 C3 RETN 


最 后 ， 删 除 ThreadProcO 函数 开始 时 生成 的 栈 帧 ， 并 使 用 RETN 命 令 返 回 函 数 。 栈 帧 在 
ThreadProc() 函 数 中 非常 重要 。 对 于 前 面 使 用 PUSH 指 令 压 人 栈 的 字符 串 ， 我 们 不 需要 费力 地 用 
POP 命令 逐个 弹出 ， 只 要 使 用 上 面 几 条 删除 栈 帧 的 指令 即 可 快速 恢复 原状 。 


28.7 小结 


对 使 用 汇编 语言 编写 的 注入 代码 的 说 明 到 此 结束 。 使 用 汇编 语言 编写 程序 要 比 使 用 C 语 言 
加 灵活 自由 , 强烈 建议 大 家 尝试 使 用 汇编 语言 编写 更 多 更 具 创意 的 代码 。 对 于 刚 接触 汇编 语言 不 
久 的 朋友 ， 我 建议 使 用 OllyDbg 中 的 汇编 指令 ， 用 它 编写 汇编 代码 更 容易 。 
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本 章 将 讲解 有 关 API 钩 取 的 内 容 ， 详 细 学 习 在 用 户 模式 下 进行 API 钧 取 的 多 种 技术 。 


29.1 钧 取 


代码 逆向 分 析 中 ， 钩 取 (Hooking ) 是 一 种 截取 信息 、 更 改 程序 执行 流向 、 添 加 新 功能 的 技 
术 。 钩 取 的 整个 流程 如 下 : 

O 使 用 反 汇 编 器 /调试 器 把 握 程 序 的 结构 与 工作 原理 ; 

O 开发 需要 的 “ 钧 子 ” 代 码 ， 用 于 修改 Bug、 改 善 程序 功能 ; 

D 灵活 操作 可 执行 文件 与 进程 内 存 ， 设 置 “ 钩 子 ” 代 码 。 

上 述 这 一 系列 的 工作 就 是 代码 逆向 分 析 工 程 的 核心 (Core) AA, MA “PO RA A 
向 分 析 之 花 ”。 

钩 取 技 术 多 种 多 样 , 其 中 钧 取 Win32 API 的 技术 被 称 为 API 钓 取 。 它 与 消息 钓 取 共 同 广 泛 应 用 
于 用 户 模式 。API 钓 取 是 一 种 应 用 范围 非常 宽泛 的 技术 ,希望 各 位 认真 学 习 并 掌握 。 

提示 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
(1) 分 析 程 序 时 若 有 程序 源 代 码 ， 大 部 分 情况 都 不 需要 使 用 钧 取 技 术 。 但 是 在 某 些 
特殊 情况 (无 源 代 码 或 难以 修改 源 代 码 ) 下 使 用 钓 取 技 术 是 非常 有 必要 的 。 

(2) 消息 钩 取 的 相关 内 容 请 参考 第 21 章 。 





29.2 API 是 什么 


学 习 API 钓 取 前 首先 要 了 解 什么 是 API (Application Programming Interface， 应 用 程序 编程 接 
口 )。Windows OS 中 ， 用 户 程 序 要 使 用 系统 资源 ( 内存、 文件 、 网 络 、 视 频 、 音 频 等 ) 时 无 法 直 
接 访 问 。 这 些 资源 都 是 由 Windows OS 直接 管理 的 ， 出 于 多 种 考虑 ( 稳定 性 、 安 全 、 效 率 等 )， 
Windows OS 禁止 用 户 程序 直接 访问 它们 。 用 户 程序 需要 使 用 这 些 资源 时 ， 必 须 向 系统 内 核 
(Kernel) 申请 ， 申 请 的 方法 就 是 使 用 微软 提供 的 Win32 API (或 是 其 他 OS 开发 公司 提供 的 API )。 
也 就 是 说 , 若 没有 API 函 数 ， 则 不 能 创建 出 任何 有 意义 的 应 用 程序 ( 因为 它 不 能 访问 进程 、 线 程 、 
内 存 、 文 件 、 网 络 、 注 册 表 、 图 片 、 音 频 以 及 其 他 系统 资源 )。 图 29-1 大 致 描述 出 了 32 位 Windows 
OS 进 程 内 存 的 情况 。 

为 运行 实际 的 应 用 程序 代码 ， 需 要 加 载 许 多 系统 库 (DLL )。 所 有 进程 都 会 默认 加 载 
kernel32.dll 库 ，kernel32.dll 又 会 加 载 ntdll.dll 库 。 

提示 

请 注意 一 些 例外 情况 : 某 些 特定 系统 进程 (如 : smss.exe ) 不 会 加 载 kernel32.dll 
库 。 此 外 ，GUI 应 用 程序 中 ，user32.dll 5 gdi32.dll 是 必需 的 库 。 
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<notepad.exe> 






























用 户 代码 代码 
用 户 Comadlg32 .dll I Msvert .dll ] ] [ 3 | 
ee) > | Advapi32.dll —Ç i. 加 载 的 DLL 












Ntdll.dll 
SYSENTER/ INT 2E 


内 核 Ntoskrnl.exe 











(80000000- 
FFFFFFFF) 





HAL.dil 
图 29-1 用 户 模 式 与 内 核 模式 


用 户 模 式 中 的 应 用 程序 代码 要 访问 系统 资源 时 , 由 ntdll.dll 向 内 核 模式 提出 访问 申请 。 下面 用 
一 个 例子 简单 说 明 。 . 

假设 notepad.exe 要 打开 ci\abc.txt 文 件 ， 首 先 在 程序 代码 中 调用 msvcrt!fopen() API， 然 后 引发 
一 系列 的 API 调 用 ， 如 下 所 示 : 


-msvcrt!fopen() 
kernel32!CreateFileW() 
ntdll!ZwCreateFile() 
ntdll!KiFastSystemCall() 
SYSENTER // IA-32 Instruction 


一 进入 内 核 模式 
如 上 所 示 ， 使 用 常规 系统 资源 的 API 会 经 由 kernel32.dl 与 ntdll.dll 不 断 向 下 调用 ， 最 后 通过 
SYSENTER 命 令 进入 内 核 模 式 。 


29.3 API 钧 取 


通过 API 钓 取 技 术 可 以 实现 对 某 些 Win32 API 调 用 过 程 的 拦截 , 并 获得 相应 的 控制 权限 。 使 用 
API 钓 取 技 术 的 优势 如 下 : 

O 在 API 调 用 前 /后 运行 用 户 的 “ 钧 子 ” 代 码 。 

口 查看 或 操作 传递 给 API 的 参数 或 API 函数 的 返回 值 。 

O 取消 对 API 的 调用 ， 或 更 改 执行 流 ， 运 行 用 户 代码 。 

对 照 图 29-2 可 以 更 好 地 理解 以 上 内 容 。 


29.3.1 正常 调用 API 

图 29-2 描 述 了 正常 调用 API 的 情形 。 首 先 在 应 用 程序 代码 区 域 中 调用 CreateFile() API， 由 于 
CreateFile() API 是 kermmel32.dll 的 导出 函数 ， 所 以 ，kernel32.dll 区 域 中 的 CreateFile() API 会 被 调用 执 
行 并 正常 返回 。 
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图 29-2 ”正常 调用 API 


29.3.2. *#JHV API 调用 

F29-318 VR BJ E £41 kernel32!CreateFile()J3 HBSTSJE . HIP GE HDLL3 A£ RAXfhook.dlli: 
A BIRHEN, a Hihook!'MyCreateFile()£4JB XJ kernel32!CreateFile() 9 98] F]. (有 多 种 
方法 可 以 设置 钓 取 函数 )。 这 样 ， 每 当 目 标 进程 要 调用 kernel32!CreateFile0 API 时 都 会 先 调用 
hook!MyCreateFile()。 





图 29-3  fJIBLAPIJA FH 


钩 取 某 函数 的 目的 有 很 多 , 如 调用 它 之 前 或 之 后 运行 用 户 代码 , 或 者 干脆 阻止 它 调用 执行 等 
等 。 实 际 操作 中 只 要 根据 自身 需要 灵活 运用 该 技术 即 可 。 这 也 是 API 钩 取 的 基本 理念 。 

实现 API 钩 取 的 方法 多 种 多 样 ， 但 钧 取 的 基本 概念 是 不 变 的 。 只 要 掌握 了 上 面 的 概念 ， 就 能 
很 容易 地 理解 后 面 讲解 的 具体 实现 方法 。 


29.4 ”技术 图 表 


图 29-4 是 一 张 技术 图 表 (Tech Map )， 涵 盖 了 API 钧 取 的 所 有 技术 内 容 。 

借助 这 张 技 术 图 表 ， 就 能 ( 从 技术 层面 ) 轻松 理解 前 面 学 过 的 ( 此 前 都 是 一 头 雾 水 ) 有 关 
API 钧 取 的 内 容 。 钩 取 API 时 ， 只 要 根据 具体 情况 从 图 表 中 选择 合适 的 技术 即 可 (应 用 最 广泛 的 
技术 已 用 下 划 线 标 出 )。 

下 面 通过 示例 逐一 讲解 图 表 中 的 技术 。 
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DebugActiveProcess 
qas dus GetThreadContext 
SetThreadContext 


B-1) 
ED Independant CreateRemoteThread 
j 代码 
7FFFFFFF Registry(Applnit DLLs) 
B-2) BHO (IE ont 


DLL 文件 SetWindowsHookEx 
CreateRemoteThread 





图 29-4 ”API 钓 取 技 术 图 表 


29.4.1 方法 对 象 ( 是 什么 ) 


， ”首先 是 关于 API 钧 取 方 法 (Method ) 的 分 类 ,根据 针对 的 对 象 ( Object ) 不 同 ，API 钩 取 方 法 
大 致 可 以 分 为 静态 方法 与 动态 方法 。 l 

静态 方法 针对 的 是 “文件 ”， 而 动态 方法 针对 的 是 进程 内 存 。 一 般 API 钧 取 技 术 指 动态 方法 ， 
当然 在 某 些 非 常 特殊 的 情形 下 也 可 以 使 用 静态 方法 。 关 于 这 两 种 方法 的 说 明 见 表 29-1。 


表 29-1 ”根据 钧 取 方 法 分 类 





P s LEES: 
文件 对 象 内 存 对 象 
程序 运行 前 钩 取 程序 运行 后 钧 取 
只 需 最 初 钧 取 一 次 每 次 运行 时 都 要 钩 取 
用 于 特殊 情况 常规 的 钧 取 方法 
不 可 脱钩 程序 运行 中 可 以 脱钩 (具有 很 强 的 灵活 性 ) 


提示 
静态 方法 在 API 钓 取 中 并 不 常用 ， 这 里 只 简单 提 及 并 跳 过 。 





29.4.2 位 置 〈 何 处 ) 


技术 图 表 中 的 这 一 栏 用 来 指出 实施 API 钓 取 时 应 该 操作 哪 部 分 (通常 有 3 个 部 分 ) 
IAT 
i IAT 将 其 内 部 的 API 地 址 更 改 为 钓 取 函数 地 址 。 该 方法 的 优点 是 实现 起 来 非常 简单 , 缺点 是 无 
法 钓 取 不 在 IAT 而 在 程序 中 使 用 的 API ( 如 : 动态 加 载 并 使 用 DLL 时 )。 
代码 
系统 库 (*.dll ) 映射 到 进程 内 存 时 ， 从 中 查找 API 的 实际 地 址 ， 并 直接 修改 代码 。 该 方法 应 
用 范围 非常 广泛 ， 具 体 实现 中 常 有 如 下 几 种 选择 ; 
口 使 用 JMP 指令 修改 起 始 代 码 ; 
口 覆 写 函数 局 部 ; 
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口 仅 更 改 必需 部 分 的 局 部 。 

EAT 

将 记录 在 DLL 的 EAT 中 的 API 起 始 地 址 更 改 为 钩 取 函数 地 址 , 也 可 以 实现 API 钧 取 。 这 种 方法 
从 概念 上 看 非常 简单 ,但 在 具体 实现 上 不 如 前 面 的 Code 方 法 简单 、 强 大 ， 所 以 修改 EAT 的 这 种 方 
法 并 不 常用 。 


29.4.3 ”技术 (如 何 ) 


技术 图 表 中 的 这 一 栏 是 向 目标 进程 内 存 设置 钩 取 函数 的 具体 技术 , 大 致 分 为 调试 法 与 注入 法 
两 类 ， 注 入 法 又 细 分 为 代码 注入 与 DLL 注 人 两 种 。 

调试 

调试 法 通过 调试 目标 进程 钩 取 API。 可 能 有 人 不 太 明 白 这 句 话 的 意思 ,“ 那 不 是 调试 吗 , 怎么 
会 是 API 钩 取 呢 ? ”调试 器 拥有 被 调试 者 (被 调试 进程 ) 的 所 有 权限 ( 执行 控制 、 内 存 访问 等 )， 
所 以 可 以 向 被 调试 进程 的 内 存 任意 设 置 钓 取 函数 。 

这 里 所 说 的 调试 器 并 不 是 OllyDbg、WinDbg、IDAPro 等 ,而 是 用 户 直 接 编写 的 、 用 来 钧 取 的 
程序 。 也 就 是 说 ,在 用 户 编写 的 程序 中 使 用 调试 API 附 加 到 目标 进程 ,然后 ( 执行 处 于 暂停 状态 ) 
设置 钩 取 函 数 。 这 样 ， 重 启运 行 时 就 能 完全 实现 API 钧 取 了 ( XP 以 上 的 系统 中 也 可 在 被 调试 者 终 
止 之 前 分 离 (Detach ) 调试 器 )。 

当然 也 可 以 向 已 有 调试 器 (OllyDbg, WinDbg, IDAPro ) 使 用 自动 化 脚本 ， 自 动 钩 取 API。 
这 种 方法 的 优点 是 ， 只 要 顺利 实现 ， 就 能 获得 ( 对 一 个 进程 的 ) 非常 强大 的 钩 取 效 果 。 不 仅 可 以 
钩 取 API， 还 可 以 根据 需要 完全 控制 程序 的 执行 流向 。 使 用 这 种 方法 ， 即 便 是 在 钩 取 API 的 过 程 
中 ， 用 户 也 可 以 暂停 程序 运行 ， 进 行 添 加 、 人 修改、 删除 API 钩 取 等 操作 (这 是 与 其 他 方法 最 大 的 
不 同 )。 不 足 之 处 是 需要 用 户 具备 调试 器 的 相关 知识 (或 自动 化 脚本 的 知识 ), 并且 需 要 大 量 测试 
以 保证 行为 的 稳定 性 。 这 些 不 足 导致 该 方法 ( 尽管 非常 强大 ) 的 实际 应 用 并 不 广泛 。 

注入 

注入 技术 是 一 种 向 目标 进程 内 存 区 域 进行 渗透 的 技术 , 根据 注入 对 象 的 不 同 , 可 细 分 为 DLL 
注入 与 代码 注入 两 种 ， 其 中 DLL 注 人 技术 应 用 最 为 广泛 。 

€ DLL 注入 

使 用 DLL 注入 技术 可 以 驱使 目标 进程 强制 加 载 用 户 指定 的 DLL 文件 (关于 DLL 注 和 人 技术 的 详 
细 说 明 请 参考 第 23 章 )。 使 用 该 技术 时 ， 先 在 要 注入 的 DLL 中 创建 钩 取代 码 与 设置 代码 ， 然 后 在 
D1IMain(0 中 调用 设置 代码 ， 注 入 的 同时 即 可 完成 API 钩 取 。 

e 代码 注入 

代码 注入 技术 比 DLL 注 入 技术 更 发 达 (更 复杂 ), 广泛 应 用 于 恶意 代码 ( 病毒 、ShellCode 等 ) 
(杀毒 软件 能 有 效 检测 出 DLL 注入 操作 ， 却 很 难 探 测 到 代码 注入 操作 ， 所 以 恶意 代码 大 量 使 用 代 
码 注 入 技术 ， 以 防 被 杀毒 软件 查 杀 )。 代 码 注 人 技术 实现 起 来 要 略 复杂 一 些 。 原 因 在 于 ， 它 不 像 
DLL 注入 技术 那样 针对 的 是 完整 的 PE 映像 , 而 是 在 执行 代码 与 数据 被 注入 的 状态 下 直接 获取 自身 
所 需 API 地 址 来 使 用 的 。 访 问 代码 中 的 内 存 地 址 时 必须 十 分 小 心 ， 防 止 访问 到 错误 地 址 ( 关于 代 
码 注 入 技术 的 详细 讲解 请 参考 第 27 章 )。 


29.4.4 API 
技术 图 表 最 后 一 列 给 出 各 技术 具体 实现 过 程 中 要 使 用 的 API。 现 在 大 致 浏览 即 可 ， 后面 讲解 
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各 技术 时 会 详细 说 明 。 

ER AAE 
除了 技术 图 表 中 列 出 的 API 外， 访问 其 他 进程 内 存 时 也 常常 使 用 OpenProcess()、 
WriteProcessMemory(), ReadProcessMemory() $£ API. 





上 述 讲解 十 分 元 长 , 虽然 令 人 有 些 厌 倦 , 但 继续 学 习 具 体 技 术 之 前 , 先 掌 握 这 些 理论 是 十 分 
必要 的 。 若 能 通过 上 面 的 技术 图 表 从 理论 上 掌握 所 有 技术 , 那么 后 面 的 实战 中 就 会 轻松 得 多 , 并 
且 钩 取 API 时 也 能 快速 找到 符合 具体 情况 的 技术 。 

后 面 我 们 会 逐一 学 习 技术 图 表 中 的 各 种 方法 〈 省 略 对 静态 方法 的 说 明 )， 通 过 相应 的 练习 示 
例 再 详细 讲解 。 
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本 章 将 讲解 前 面 介 绍 过 的 调试 钩 取 技术 。 通过 钧 取 记 事 本 的 kernel32!WriteFile() API, 使 其 执 
行 不 同 动作 ， 下 图 是 钓 取 WriteFile() API 的 结果 。 


c CWWINDOWSWsystem32Wcmd.exe - hookdbg.exe 1688 


Microsoft Windows XP [Uersion 5.1.26001 
«C» Copyright 1985-2881 Microsoft Corp. 


ic: work^hookdbg.exe 1688 


HHH original string HHH 

And when you want something. 

all the universe conspires in helping you to acheive it." 
— [The Alchemist] : Paulo Coelho 


HHH converted string Htt 

VAND WHEN YOU WANT SOMETHING, 

ALL THE UNIVERSE CONSPIRES IN HELPING YOU TO ACHEIVE IT." 
— [THE ALCHEMIST] : PAULO COELHO 











练习 示例 : WriteFile() APIE 


30.1 技术 图 表 - 调试 技术 
下 面 讲解 调试 方式 的 API 钩 取 技 术 〔 请 参考 图 30-1 技 术 图 表 中 有 下 划 线 的 部 分 ) 


DebugActiveProcess 
GetThreadContext 
SetThreadContext 


(Interactive) 


B-1) 
Independant CreateRemoteThread 
代码 


00000000 B) 注入 i 
7FFFFFFF (stand Registry(Applnit, DLLs) 
alone) B-2) BHO (IE only) 


DLL 文件 SetWindowsHookEx 
CreateRemoteThread 





图 30-1 技术 图 表 ( 调试 ) 
由 于 该 技术 借助 “调试 ” 钓 取 ， 所 以 能 够 进行 与 用 户 更 具 交 互 性 (interctive ) 的 钧 取 操 作 。 
也 就 是 说 ， 这 种 技术 会 向 用 户 提供 简单 的 接口 ,使 用 户 能 够 控制 目标 进程 的 运行 ,并 且 可 以 自由 
使 用 进程 内 存 。 使 用 调试 钩 取 技术 前 ， 先 要 了 解 一 下 调试 器 的 构造 。 
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30.2 关于 调试 器 的 说 明 


30.2.1 术语 
先 简 单 整 理 一 下 常用 术语 。 


调试 器 (Debugger): 进行 调试 的 程序 
被 调试 者 ( Debuggee ): 被 调试 的 程序 


30.2.2. ”调试 器 功能 


调试 器 用 来 确认 被 调试 者 是 否 正确 运行 , 发现 (未 能 预料 到 的 ) 程序 错误 。 调试 器 能 够 逐一 
执行 被 调试 者 的 指令 ， 拥 有 对 寄存 器 与 内 存 的 所 有 访问 权限 。 


30.2.3 ”调试 器 的 工作 原理 


调试 进程 经 过 注册 后 ,每 当 被 调试 者 发 生 调试 事件 (Debug Event ) 时 ，OS 就 会 暂停 其 运行 ， 
并 向 调试 器 报告 相应 事件 。 调 试 器 对 相应 事件 做 适当 处 理 后 ， 使 被 调试 者 继续 运行 。 
O 一 般 的 异常 (Exception ) 也 属于 调试 事件 。 
OQ 若 相 应 进程 处 于 非 调试 ， 调 试 事件 会 在 其 自身 的 异常 处 理 或 OS 的 异常 处 理 机 制 中 被 处 
理 掉 。 
口 调试 器 无 法 处 理 或 不 关心 的 调试 事件 最 终 由 OS 处 理 。 
图 30-2 形 象 描述 了 上 述说 明 。 





常规 进程 的 异常 事件 处 理 





图 30-2 ”调试 器 工作 原理 


30.2.4 ”调试 事件 


各 种 调试 事件 整理 如 下 : 

Q EXCEPTION DEBUG EVENT 

Q CREATE THREAD DEBUG EVENT. 
` O CREATE PROCESS DEBUG EVENT 
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O EXIT THREAD DEBUG EVENT 

O EXIT PROCESS DEBUG EVENT 

OQ LOAD DLL DEBUG EVENT 

Q UNLOAD DLL DEBUG EVENT 

Q OUTPUT DEBUG STRING EVENT 

O RIP EVENT 

上 面 列 出 的 调试 事件 中 ， 与 调试 相关 的 事件 为 EXCEPTION_DEBUG_EVENT， 下 面 是 与 其 
相关 的 异常 列表 。 

Q EXCEPTION ACCESS VIOLATION 

Q EXCEPTION ARRAY BOUNDS EXCEEDED 

CQ EXCEPTION BREAKPOINT 

CQ EXCEPTION DATATYPE MISALIGNMENT 

Q EXCEPTION FLT DENORMAL OPERAND 

O EXCEPTION FLT DIVIDE BY ZERO 

CQ EXCEPTION FLT INEXACT RESULT 

Q EXCEPTION FLT INVALID OPERATION 

CQ EXCEPTION FLT OVERFLOW 

Q EXCEPTION FLT STACK CHECK 

Q EXCEPTION FLT UNDERFLOW 

O EXCEPTION ILLEGAL INSTRUCTION 

O EXCEPTION IN PAGE ERROR 

O EXCEPTION INT DIVIDE BY ZERO 

Q EXCEPTION INT OVERFLOW 

O EXCEPTION INVALID DISPOSITION 

O EXCEPTION NONCONTINUABLE EXCEPTION 

Q EXCEPTION PRIV INSTRUCTION 

O EXCEPTION SINGLE STEP 

O EXCEPTION STACK OVERFLOW 

上 面 各 种 异常 中 ,调试 器 必须 处 理 的 是 EXCEPTION_BREAKPOINT 异 常 。 断 点 对 应 的 汇编 指 
令 为 INT3，IA-32 指 令 为 0xXCC。 代 码 调试 遇 到 INT3 指 令 即 中 断 运行 , EXCEPTION BREAKPOINT 
异常 事件 被 传送 到 调试 器 ， 此 时 调试 器 可 做 多 种 处 理 。 

调试 器 实现 断 点 的 方法 非常 简单 ， 找 到 要 设置 断 点 的 代码 在 内 存 中 的 起 始 地 址 ， 只 要 把 1 个 
字 节 修改 为 0xCC 就 可 以 了 。 想 继续 调试 时 ， 再 将 它 恢 复原 值 即 可 。 通 过 调试 钩 取 API 的 技术 就 是 
利用 了 断 点 的 这 种 特性 。 


30.3 ”调试 技术 流程 


下 面 详细 讲解 借助 调试 技术 钧 取 API 的 方法 。 基本 思路 是 , 在 “调试 器 -被 调试 者 ”的 状态 下 ， 
将 被 调试 者 的 API 起 始 部 分 修改 为 0xCC, 控制 权 转移 到 调试 器 后 执行 指定 操作 ,最 后 使 被 调试 者 
重新 进入 运行 状态 。 

具体 的 调试 流程 如 下 : 
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a 对 想 钧 取 的 进程 进行 附加 操作 ， 使 之 成 为 被 调试 者 ; 

OQ "£F". 将 API 起 始 地 址 的 第 一 个 字 节 修改 为 0xCC; 

Q 调用 相应 API 时， 控制 权 转 移 到 调试 器 ; 

口 执行 需要 的 操作 ( 操作 参数 、 返 回 值 等 ); 

O AAt: 将 0xCC 恢复 原 值 (为 了 正常 运行 API ); 

口 运行 相应 API (无 0xCC 的 正常 状态 ); 

OQ "£f". 再 次 修改 为 0xCC (为 了 继续 钓 取 ); 

口 控制 权 返 还 被 调试 者 。 

以 上 介绍 的 是 最 简单 的 情形 ， 在 此 基础 上 可 以 有 多 种 变化 。 既 可 以 不 调用 原始 API， 也 可 以 
调用 用 户 提供 的 客户 API; 可 以 只 钓 取 一 次 ， 也 可 以 钧 取 多 次 。 实 际 应 用 时 ， 根 据 需 要 适当 调整 


即 可 。 
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结合 上 面 学 习 的 内 容 ， 我 们 通过 一 个 示例 来 练习 。 该 示例 钓 取 Notepad.exe 的 WriteFile() API, 
保存 文件 时 操作 输入 参数 ， 将 小 写字 母 全 部 转换 为 大 写字 母 。 也 就 是 说 ， 在 Notepad 中 保存 文件 
内 容 时 ， 其 中 输入 的 所 有 小 写字 母 都 会 先 被 转换 为 大 写字 母 ， 然 后 再 保存 。 


提示 
本 示例 在 Windows XP 32 位 系统 环境 下 通过 测试 。 


首先 运行 Notepad.exe， 获 取 其 PID， 如 图 30-3 所 示 。 


è? Process Explorer - Sysinternals: www.sysinter... -EF 
File Options View Process Find Handle Users Help 


dA 3 5B 9 rA À @ 


CPU Virtual Size Description 


Process PID 
B] System Idle Process 0 
~J interrupts n/a 
“DPpcs n/a Deferred Pro 
m] System 4 
= g explorer,exe . 188 Windows Ex 
Qpprocexpexe —— < 2028 (077 101136K Sysinterna 


Hardware Inti 


84520 K Notepad 


WDefault 
S KnownDlls 





图 30-3 Process Explorer 


is £1 DIU SC P S AAIBUEEFE. ( hookdbg.exe )。hookdbg.exe 是 基于 控制 台 的 程序 ， 其 运行 参 
数 为 目标 进程 的 PID ， 如 图 所 示 。 

如 图 30-4 所 示 ， 运行 hookdbg.exe 程 序 后 ,就 开始 了 对 notepad 进 程 ( PID 为 1688 ) 的 WriteFile0 
API 的 钧 取 。 然 后 在 notepad 中 随意 输入 一 些 英文 小 写字 母 ， 如 图 30-5 所 示 。 


292 第 30% 记事 本 WriteFile() API 4 





c C:WWINDOWSWsystem32Wcmd.exe - hookdbg. BKE 1688 


Microsoft Windows XP [Version 5.1. 
<C) Copyright 1985-2001 Microsoft 


ic :iWwork>hookdbg.exe 1688 











图 30-4 ”运行 hookdbg.exe 





r I Ten sus 
d 无 标 是 imu mr 





Ea ORRE ERO GEBQ(V) EBH) 


"And when you want something, 
| all the uniuerse conspires in helping you to acheiue it." 
k [The Alchemist] : Paulo Coelho| 
| 
| 
| 








| 

| ; 

— — —— J 
图 30-5 ”在 notepad 中 输入 小 写字 母 


完成 输入 后 ， 保 存 输入 的 文本 内 容 ， 如 图 30-6 所 示 。 











[8 A" mom 


fir 0) work ~ @ mj- 


"m Í — 


"i 


ZWD m -ES | 
保存 类 型 CT) (scis oe txt) < " == Í 取消 





RBE) ANSI * 


V === CE Euer em = — = = 


图 30-6 ”保存 文件 


保存 文件 后 ， notepad 界 面 中 不 会 VH 任何 变化 ( (请 注意 E 意 前 面 只 只 是 是 钓 取 T WriteFile() API). 关闭 
notepad， 查 看 hookdbg 程 序 的 控制 台 窗 口 ， 如 图 30-7 所 示 。 
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€ C:WWINDOWSWsystem32Wcmd.exe - hookdbg.exe 1688 ` 


Microsoft Windows XP [Version 5.1.26001 
<C) Copyright 1985-2001 Microsoft Corp. 


ic :Wuork>hookdbg.exe 1688 


onething. 


nspires in helping you to acheiue it." 
Coelho 


Pau 


HHH converted stri 
VAND WHEN YOU WANT 
ALL THE UNIVERSE 

- [THE ALCHEMIST] : 


lo 


FS IN HELPING YOU TO ACHEIVE IT." 
COELHO 


PAULO 











[430-7 ”hookdbg.exe 运 行 结果 


从 图 30-7 中 可 以 看 到 ,“original string” 中 的 部 分 是 原来 输入 的 小 写字 母 ，“converted string" 
中 的 字符 是 WriteFile() API 钓 取 之 后 经 过 变换 得 到 的 字符 串 ( 小 写字 母 一 大 写字 母 )， 这 是 为 了 显 


示 hookdbg.exe 程 序 内 部 的 钓 取 过 程 而 


以 大 写字 母 形式 保存 ， 如 图 30-8 所 示 。 


输出 的 字符 串 。 打 开 保 存 的 test.txt 文 件 ， 查 看 实际 文本 是 否 





W testot- 记事 本 


— 





|- [The ñlchemist] 


| 
| 





[xeu mo meo ET | 





||"&nd when you want something, 
all the uniuerse conspires in helping you to acheiue it." 
: Paulo Coelho| 








图 30-8 


test.txt 文 件 内 容 


从 文本 内 容 可 知 , 原来 的 小 写字 和 母 全 部 被 转换 为 大 写字 和 母 并 保存 。 虽然 这 个 示例 功能 非常 简 
单 ， 但 它 能 够 很 好 地 说 明 通过 调试 进行 API 钩 取 的 技术 。 


30.5 工作 原理 


为 帮助 大 家 理解 示例 ， 先 讲解 其 工作 原理 。 假 设 notepad 要 保存 文件 中 的 某 些 内 容 时 会 调用 


kernel32!WriteFile() API ( 先 确定 一 下 假设 是 否 正 确 )。 


30.5.1 1X 


WriteFile)sE X. ( 出 处 : MSDN ) 如 下 : 


BOOL WriteFile( 
HANDLE hFile, 
LPCVOID lpBuffer, 
DWORD nNumberOfBytesToWrite, 
LPDWORD lpNumberOfBytesWritten, 
LPOVERLAPPED lpOverlapped 
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第 二 个 参数 CIpBuffer ) 为 数据 缓冲 区 指针 ， 第 三 个 参数 ( nNumberOfBytesToWrite ) 为 要 写 
的 字 节 数 。 顺 便 提醒 一 下 : 函数 参数 被 以 递 序 形式 存储 到 栈 。 使 用 OllyDbg 工 具 调 试 notepad， 并 
查看 程序 栈 。 

提示 

示例 中 使 用 的 是 Windows XP SP3 (32 位 ) 中 的 notepad.exe 记事 本 程序 。 


如 图 30-9 所 示 ， 使 用 OllyDbg 打 开 notepad 后 ， 在 Kernel32!WriteFile() API 处 设置 断 点 ， 按 (F9) 
键 运行 程序 。 在 记事 本 中 输入 文本 后 ， 以 合适 的 文件 名 保存 ， 如 图 30-10 所 示 。 


[d CPU - main thread, module kernel32. 


7C7E8E29 68 C88E7E7C PUSH kernel32.7C7E8EC8 
7C7EOE2E E8 A316FFFF CALL kernel32.7C7D25D6 
7C7E80bE33 8B5D 14 MOU EBX,DWORD PTR SS:[EBP*14] 
7C7E8E36 3369 XOR ECN,ECX 


7C7E8E38 
7C7E9SE38 . [3 Breakpoints 


7E7E GELA 











(3 xum ime -— 
ZAA MAE) ERO EEV) WMH 


Reversecore 2 

















¿v 


ë — 


图 30-10 在 notepad 中 输入 文本 


在 OllyDbg 代 码 窗 口中 可 以 看 到 ， 调 试 器 在 kernel32!WriteFile0 处 ( 设 有 断 点 ) 暂停 ， 然 后 查 
看 进程 栈 ， 如 图 30-11 所 示 。 





[8 CPU - main thread, module kernel32 


PUSH kerne EBECB 
CALL kernel32_7C7D24D6 
MOU EBX, DORO PTR SS:[EBP+ 
CMP EBX. ECX 


SHORT kernel32. 7C7EBESE 
Hou DUO W. PTR DS aca EN 


a| ES LEE 
| EDI 55555558 
EIP 7C7EQE27 kerne| 


QBOTFRRO pBytesllritten = DBG7FRRB 
aGeoaeaoo| t pOoerlapped = NULL 





图 30-11 查看 栈 中 的 参数 
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当前 栈 (ESP: 7FA7C ) 中 存在 1 个 返回 值 (01004C30 ), ESP+8 ( 7FA84 ) 中 存在 数据 缓冲 区 
的 地 址 (0E7310 ) (参考 图 30-11 中 的 栈 窗口 )。 直 接 转 到 数据 缓冲 区 地 址 处 ， 可 以 看 到 要 保存 到 
notepad 的 字符 串 ( *ReverseCore" ) (参考 上 图 中 的 内 存 窗口 )。 钓 取 WriteFile() API 后 ， 用 指定 字 
符 串 覆盖 数据 缓冲 区 中 的 字符 串 即 可 达成 所 愿 。 


30.5.2 ”执行 流 


我 们 现在 已 经 知道 应 该 修改 被 调试 进程 内 存 的 哪 一 部 分 了 。 接 下 来 ， 只 要 正常 运 和 
WriteFile()， 将 修改 后 的 字符 串 保存 到 文件 就 可 以 了 。 

下 面 我 们 使 用 调试 方法 来 钩 取 API。 利 用 前 面 介绍 的 hookdbg.exe, 在 WriteFile() API 起 始 地 址 
处 设置 断 点 (INT3 ) 后 ,向 被 调试 进程 (notepad.exe ) 保存 文件 时 ，EXCEPTION BREAKPOINT 
事件 就 会 传 给 调试 器 (hookdbg.exe )。 那 么 ， 此 时 被 调试 者 (notepad.exe ) 的 EIP 值 是 多 少 呢 ? 

乍 一 想 很 容易 认为 是 WriteFile0 API 的 起 始 地 址 ( 7C7E0E27 )。 但 其 实 EIP 的 值 应 该 为 
WriteFile() API 的 起 始 地 址 (7C7E0E27 ) +1=7C7E0E28。 

原因 在 于 , 我 们 在 WriteFile() API 的 起 始 地 址 处 设置 了 断 点 ， 被 调试 者 (notepad.exe ) 内 部 调 
用 WriteFile0 时 ， 会 在 起 始 地 址 7C7E0E27 处 遇 到 INT3 (0xCC ) 指令 。 执 行 该 指令 (BreakPoint - 
INT3 ) 时 , EIP 的 值 会 增加 1 个 字 节 (INT3 指 令 的 长 度 )。 然后 控制 权 会 转移 给 全 调试 器 ( hookdbg.exe ) 
(因为 在 “调试 器 -被 调试 者 ”关系 中 ,被 调试 者 中 发 生 的 EXCEPTION_BREAKPINT 异 常 需要 由 
调试 器 处 理 )。 修 改 履 写 了 数据 缓冲 区 的 内 容 后 ，EIP 值 被 重新 更 改 为 WriteFile( API 的 起 始 地 址 ， 
继续 运行 。 
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另 一 个 问题 是 ， 若 只 将 执行 流 返 回 到 WriteFile0 起 始 地 址 ， 再 遇 到 相同 的 INT3 指 令 时 ， 就 会 
陷入 无 限 循环 ( 发 生 EXCEPTION BREAKPOINT )。 为 了 不 致 于 陷入 这 种 境地 ， 应 该 去 除 设置 在 
WriteFile() API 起 始 地 址 处 的 断 点 ,即将 0xCC 更 改 为 originalbyte ( 0x6A ) ( original bytefE#JJR API 
前 已 保存 )。 这 一 操作 称 为 “脱钩 "” ， 就 是 取消 对 API 的 钩 取 。 

履 写 好 数据 缓冲 区 并 正常 返回 WriteFile0 API 代 码 后 ,EIP 值 恢复 为 WriteFile() API 的 地 址 , 修 
改 后 的 字符 串 最 终 保存 到 文件 。 这 就 是 hookdbg.cpp 的 工作 原理 。 

若 只 需要 钓 取 1 次 ， 那 到 这 儿 就 结束 了 。 但 如 果 需 要 不 断 钧 取 ， 就 要 再 次 设置 断 点 。 只 靠 说 
ei 了 的 ， 下 面 结合 源 代码 (hookdbg.cpp ) 详细 讲解 。 


提示 


像 OllyDbg 这 类 应 用 范围 很 广 的 调试 器 ，EIP 值 与 设置 断 点 的 地 址 是 相同 的 ， 并 不 
显示 INT3 (0xCC ) 指令 ， 如 图 30-11 所 示 。 这 是 OllyDbg 为 了 向 用 户 展示 更 方便 的 界 
面 而 提供 的 功能 。 也 就 是 说 ,改写 了 INT3(0xCC) 之 后 ， 若 执行 该 命令 ， 则 EIP 值 增 1。 
此 时 OllyDbg AH 0xCC 恢复 为 原来 的 字 节 ， 并 调整 EIP ( 最 终 的 实现 算法 如 上 所 述 )。 


30.6 ” 源 代 码 分 析 
本 节 分 析 hookdbg.cpp 源 代码 。 
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30.6.1 main() 


#include “windows.h” 
#include "stdio.h" 


LPVOID g pfWriteFile = NULL; 
CREATE PROCESS DEBUG INFO g cpdi; 
BYTE g chINT3 = 0xCC, g chOrgByte = 0; 


int main(int argc, char* argv[]) 
1 
DWORD dwPID; 


if( argc != 2 ) 

1 
printf("XnUSAGE : hookdbg.exe pidWn"); 
return 1; 


) 


// Attach Process 
dwPID = atoi(argv[1]); 
if( !DebugActiveProcess(dwPID) ) 


printf("DebugActiveProcess(*$d) failed!!!Xn" 
"Error Code = %d\n”, dwPID, GetLastError()); 
return 1; 


) 


// 调试 器 循环 
DebugLoop(); 


return 0; 


main0 函 数 的 代码 非常 简单 ， 以 程序 运行 参数 的 形式 接收 要 钩 取 API 的 进程 的 PID。 然 后 通过 
DebugActiveProcess() API ( 出 处 : MSDN ) 将 调试 器 附加 到 该 运行 的 进程 上 ， 开 始 调试 (上面 输 
和 人 的 PID 作 为 参数 传人 函数 )。 


BOOL WINAPI DebugActiveProcess( 
DWORD dwProcessId 
); 


然后 进入 DebugLoop0) 函 数 ， 处 理 来 自 被 调试 者 的 调试 事件 。 
提示 

另 一 种 启动 调试 的 方法 是 使 用 CreateProcess() API， 从 一 开始 就 直接 以 调试 模式 运 
行 相关 进程 。 更 详细 的 说 明 请 参考 MSDN。 


30.6.2 DebugLoop() 


void DebugLoop() 


DEBUG EVENT de; 
DWORD dwContinueStatus; 
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// 等 待 被 调试 者 发 生 事件 
while( WaitForDebugEvent(&de, INFINITE) ) 
1 
dwContinueStatus = DBG CONTINUE; 
// 被 调试 进程 生成 或 者 附加 事件 
if( CREATE PROCESS DEBUG EVENT == de.dwDebugEventCode ) 
t 
OnCreateProcessDebugEvent (&de) ; 
} 
// 异常 事件 
else if( EXCEPTION DEBUG EVENT == de.dwDebugEventCode ) 
1 
if( OnExceptionDebugEvent(&de) ) 
continue; 
) 
// 被 调试 进程 终止 事件 
else if( EXIT PROCESS DEBUG EVENT == de.dwDebugEventCode ) 
£ 
// 被 调试 者 终止 -调试 器 终止 
break; 
À 
// 再 次 运行 被 调试 者 
ContinueDebugEvent(de.dwProcessId, de.dwThreadId, 
dwContinueStatus); 


DebugLoop0 函 数 的 工作 原理 类 似 于 窗口 过 程 函数 ( WndProc )， 它 从 被 调试 者 处 接收 事件 并 
处 理 ， 然 后 使 被 调试 者 继续 运行 。DebugLoop() 函 数 代码 比较 简单 ， 结 合 代码 中 的 注释 就 能 理解 。 


下 面 看 看 其 中 比较 重要 的 2 个 API。 
顾名思义 ，WaitForDebugEvent() API ( 出 处 : MSDN ) 是 一 个 等 待 被 调试 者 发 生 调 试 事件 的 


函数 (行为 动作 类 似 于 WaitForSingleObjectO API )。 


BOOL WINAPI WaitForDebugEvent( 

LPDEBUG_EVENT lpDebugEvent, 

DWORD dwMilliseconds 
); 

DebugLoopO PEZ CB F, 若 发 生 调 试 事件 , WaitForDebugEvent() API 就 会 将 相关 事件 信息 设 
置 到 其 第 一 个 参数 的 变量 (DEBUG_EVENT 结 构 体 对 象 ), 然后 立刻 返回 。DEBUG_EVENT 结 构 
体 定义 (出 处 : MSDN ) 如 下 所 示 : 


typedef struct DEBUG EVENT { 

DWORD dwDebugEventCode; 

DWORD dwProcessId; 

DWORD dwThreadId; 

union ( 
EXCEPTION DEBUG INFO Exception; 
CREATE THREAD DEBUG INFO  CreateThread; 
CREATE PROCESS DEBUG INFO CreateProcessInfo; 
EXIT THREAD DEBUG INFO ExitThread; 
EXIT PROCESS DEBUG INFO ExitProcess; 


LOAD DLL DEBUG INFO LoadDll; 
UNLOAD DLL DEBUG INFO UnloadDll; 
OUTPUT DEBUG STRING INFO — DebugString; 
RIP INFO RipInfo; 


} u; 
} DEBUG EVENT, *LPDEBUG EVENT; 
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前 面 的 讲解 中 已 经 提 到 过 ， 共 有 9 种 调试 事件 。DEBUG _EVENT.dwDebugEventCode 成 员 会 
被 设置 为 9 种 事件 中 的 一 种 ， 根 据 相 关 事 件 的 种 类 ， 也 会 设置 适当 的 DEBUG EVENT.u (union ) 
成 员 ( DEBUG_EVENT.u 共 用 体 成 员 内 部 也 由 9 个 结构 体 组 成 ， 它 们 对 应 于 事件 种 类 的 个 数 )。 
提示 
例如 ， 发 生 异 常事 件 时 ，dwDebugEventCode 成 员 会 被 设置 为 EXCEPTION_ 
DEBUG EVENT, u.Exception 结构 体 也 会 得 到 设置 。 





ContinueDebugEvent() API ( 出 处 : MSDN ) 是 一 个 使 被 调试 者 继续 运行 的 函数 。 


BOOL WINAPI ContinueDebugEvent( 
DWORD dwProcessId, 
DWORD dwThreadId, 
DWORD dwContinueStatus 


ContinueDebugEvent() API 的 最 后 一 个 参数 dwContinueStatus 的 值 为 DBG_ CONTINUE 或 


DBG EXCEPTION NOT HANDLED., 
若 处 理 正常 ， 则 其 值 设置 为 DBG_CONTINUE; 若 无 法 处 理 ， 或 希望 在 应 用 程序 的 SEH 中 处 
则 其 值 设置 为 DBG_EXCEPTION NOT HANDLED, 


提示 


理 


` 


SEH € Windows 提供 的 异常 处 理 机 制 。 关 于 这 种 异常 处 理 及 反 调 试 技术 将 在 第 49 
章 中 详细 讲解 。 





代码 30-2 的 DebugLoop0O 函 数 处 理 3 种 调试 事件 ， 如 下 所 示 。 
Q EXIT PROCESS DEBUG EVENT 

CQ CREATE PROCESS DEBUG EVENT 

O EXCEPTION DEBUG EVENT 

下 面 分 别 看 看 这 3 个 事件 。 


30.6.3 EXIT PROCESS DEBUG EVENT 


被 调试 进程 终止 时 会 触发 该 事件 。 本 章 的 示例 代码 中 发 生 该 事件 时 , 调试 器 与 被 调试 者 将 一 
起 终止 。 


30.6.4 CREATE PROCESS DEBUG EVENT-OnCreateProcessDebugEvent() 


OnCreateProcessDebugEvent() 是 CREATE_PROCESS_DEBUG EVENT3E4T/RJAW , 被 调试 进程 
启动 (或 者 附加 ) 时 即 调用 执行 该 函数 。 


代码 30-3 OnCreateProcessDebugEvent() 


BOOL OnCreateProcessDebugEvent(LPDEBUG EVENT pde) 
t 
// 获取 WriteFile() API 地 址 
g pfWriteFile = GetProcAddress(GetModuleHandle(“kernel32.dll”), 
“WriteFile”); 
// API “40” - WriteFile() 
// 更 改 第 一 个 字 节 为 OxCC (INT3) 
// originalbyte 是 g_ch0rgByte 各 份 
memcpy(&g cpdi, &pde->u.CreateProcessInfo, sizeof(CREATE PROCESS DEBUG 
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INF0)); 
ReadProcessMemory(g cpdi.hProcess, g pfWriteFile, 
&g chOrgByte, sizeof(BYTE), NULL); 


WriteProcessMemory(g cpdi.hProcess, g pfWriteFile, 
&g chINT3, sizeof(BYTE), NULL); 
return TRUE; 


首先 获取 WriteFile0 API 的 起 始 地 址 ， 需 要 注意 ， 它 获取 的 不 是 被 调试 进程 的 内 存 地 址 ， 而 
是 调试 进程 的 内 存 地 址 。 对 于 Windows OS 的 系统 DLL 而 言 ， 它 们 在 所 有 进程 中 都 会 加 载 到 相同 
地 址 ( 虚拟 内 存 )， 所 以 上 面 这 样 做 是 没有 任何 问题 的 。 

g cpdiZéCREATE PROCESS DEBUG _ INFO 结构 体 (出 处 : MSDN ) 变量 。 


typedef struct CREATE PROCESS DEBUG INFO í 


HANDLE hFile; 

HANDLE hProcess; 

HANDLE hThread; 

LPVOID lpBaseOfImage; 

DWORD dwDebugInfoFileOffset; 
DWORD nDebugInfoSize; 

LPVOID lpThreadLocalBase; 
LPTHREAD START ROUTINE lpStartAddress; 

LPVOID lplImageName; 

WORD fUnicode; 


)CREATE PROCESS DEBUG INFO, *LPCREATE PROCESS DEBUG INFO; 

通过 CREATE PROCESS DEBUG _INFO 结 构 体 的 hProcess 成 员 ( 被 调试 进程 的 句柄 )， 可 以 
£N WriteFile) API ( 不 使 用 调试 方法 时 ， 可 以 使 用 OpenProcess() API 获 取 相 应 进程 的 句柄 )。 调 
试 方法 中 ， 钩 取 的 方法 非常 简单 。 

只 要 在 API 的 起 始 位 置 设置 好 断 点 即 可 。 由 于 调试 器 拥 有 被 调试 进程 的 句柄 ( 带 有 调试 权限 )， 
所 以 可 以 使 用 ReadProcessMemory()、WiriteProcessMemory() API 对 被 调试 进程 的 内 存 空间 自由 进 
行 读 写 操作 。 用 上 面 的 函数 可 以 向 被 调试 者 设置 断 点 ( INT3 0xCC )。 通 过 ReadProcessMemory() 
读 取 WriteFile0 API 的 第 一 个 字 节 ， 并 将 其 存储 到 g_chOrgByte 变 量 。 如 图 30-12 所 示 ，WriteFile0 
API 的 第 一 个 字 节 为 0x6A (Windows XP 操作 系统 )。 





7C7EBE29 —— — 68 COBE7E7C PUSH kernel32.7C7E8ECO 


7C7E8E2E E8 f316FFFF CALL kernel32.7C7D25D6 
7C?E8E33 8B5D 14 HOU EBX,DWÜRD PTR SS:[EBP*15] 
7TC?EOES36 3369 XOR ECX,ECX 


[30-12 “WriteFile0 第 一 个 字 节 


g_chOrgByte 变 量 中 存储 的 是 WriteFile() API 的 第 一 个 字 节 ， 后 面 “脱钩 ”时 会 用 到 。 然 后 使 


FH WriteProcessMemory() API 将 WriteFile() API 的 第 一 个 字 节 更 改 为 0xCC ( 参考 图 30-13 )。 


7C7EQE28 8 J 












7C7E0E29 - 68 C8UE7E7C | PUSH kerne132.7C7E0EC0O 
7C7E0E2E . E8 R316FFFF |CALL kernel132.7C7D2h5D6 
7C7EBES33 - 8B5D 14 MOU EBX,DUORD PTR SS:[EBP*15] 
7C7E8ES36 . 33C9 KOR ECN,ECXN 





图 30-13 ”设置 0xCC 


0xCC 是 IA-32 指 令 ， 对 应 于 INT3 指 令 ， 也 就 是 断 点 。CPU 遇 到 INT3 指 令 时 会 暂停 执行 程序 ， 
并 触发 异常 。 若 相应 程序 正 处 于 调试 中 ， 则 将 控制 权 转 移 到 调试 器 , 由 调试 器 处 理 。 这 也 是 一 般 
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调试 器 设置 断 点 的 基本 原理 。 
这 样 一 来 ， 被 调试 进程 调用 WriteFileO0 API 时 ， 控 制 权 都 会 转移 给 调试 器 。 


30.6.5 EXCEPTION DEBUG EVENT-OnExceptionDebugEvent() 


OnExceptionDebugEvent() Æ EXCEPTION DEBUG _EVENT 事 件 句 柄 ， 它 处 理 被 调试 者 的 
INT34& 4, fC8330-4J&OnExceptionDebugEvent() 函数 代码 ， 下 面 看 一 下 它 的 核心 部 分 。 





代码 30-4 OnExceptionDebugEvent() 
BOOL OnExceptionDebugEvent(LPDEBUG EVENT pde) 
t 


CONTEXT ctx; 

PBYTE lpBuffer - NULL; 

DWORD dwNumOfBytesToWrite, dwAddrOfBuffer, i; 

PEXCEPTION RECORD per = &pde-»u.Exception.ExceptionRecord; 


// 是 断 点 异常 (INT 3) 时 
if( EXCEPTION_BREAKPOINT == per->ExceptionCode ) 
{ 
// 断 点 地 址 为 WriteFitLe() API 地 址 时 
if( g_pfWriteFile == per->ExceptionAddress ) 
t 
// #1. Unhook 
// 将 OQxCC 恢 复 为 original byte 
WriteProcessMemory(g_cpdi.hProcess, g pfWriteFile, 
&g chOrgByte, sizeof(BYTE), NULL); 


// #2. 获 取 线 程 上 下 文 
ctx.ContextFlags = CONTEXT CONTROL; 
,GetThreadContext(g cpdi.hThread, &ctx); 


// #3. 获 取 WriteFile() 的 param 2, 34& 

// HRABRA É Tia kawsa 

// param 2 : ESP + 0x8 

// param 3 : ESP + 0xC 

ReadProcessMemory(g_cpdi.hProcess, (LPVOID)(ctx.Esp + 0x8), 
&dwAddrOfBuffer, sizeof(DWORD), NULL); 

ReadProcessMemory(g cpdi.hProcess, (LPVOID)(ctx.Esp + 0xC), 
&dwNumOfBytesToWrite, sizeof(DWORD), NULL); 


// #4. Dikt E 
lpBuffer = (PBYTE)malloc(dwNumOfBytesToWrite+1); 
memset(lpBuffer, 0, dwNumOfBytesToWrite+1); 


// $5. X iiWriteFile()s»b Kalit > E 

ReadProcessMemory(g cpdi.hProcess, (LPVOID)dwAddrOfBuffer, 
lpBuffer, dwNumOfBytesToWrite, NULL); 

printf(“Nn### original string : %sNn”, lpBuffer); 


// #6. 将 小 写字 母 转换 为 大 写字 母 
for( i = 0; i < dwNumOfBytesToWrite; i++ ) 
1 
if( 0x61 <= lpBuffer[i] && lpBuffer[i] <= 0x7A ) 
lpBuffer[i] -= 0x20; 
} 


printf (“\n### converted string : %s\n”, lpBuffer); 


// #71. EXAM ELA WriteFile() E 
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WriteProcessMemory(g cpdi.hProcess, (LPVOID)dwAddrOfBuffer, 
lpBuffer, dwNumOfBytesToWrite, NULL); 


// #8. EA et E 
free(lpBuffer); 


// 49. 将 线程 上 下 文 的 EIP 更 改 为 WriteFitLe() 首 地 址 
// (当前 为 WriteFiLe()+1 位 置 ，INT3 命 令 之 后 ) 
ctx.Eip = (DWORD)g pfWriteFile; 
SetThreadContext(g cpdi.hThread, &ctx); 


// $410. 运行 被 调试 进程 
ContinueDebugEvent(pde->dwProcessId, pde->dwThreadId, DBG 
CONTINUE); 


Sleep(0); 


// #11. API “F” 
WriteProcessMemory(g cpdi.hProcess, g pfWriteFile, 
&g chINT3, sizeof(BYTE), NULL); 


return TRUE; 
于 


l 
return FALSE; 


OnExceptionDebugEventO 函 数 代码 有 些 多 ， 接 下 来 分 析 核 心 部 分 。 首 先 ，ifi 滞 句 用 于 检测 异 
常 是 否 为 EXCEPTION _ BREAKPOINT 异 常 ( 除 此 之 外 , 还 有 大 约 19 种 异常 ,请 参考 前 几 节 内 容 )。 
然后 ， 用 证 语句 检测 发 生 断 点 的 地 址 是 否 与 kernel32!WriteFile0 的 起 始 地 址 一 致 
(OnCreateProcessDebugEvent(O 已 经 事先 获取 了 WriteFile0 的 起 始 地 址 )。 若 满足 条 件 , 则 继续 执行 
以 下 代码 。 

#1. “REI” (HMBERAPI#J T ) 


// 将 0xCC 恢 复 为 original byte 
WriteProcessMemory(g cpdi.hProcess, g pfWriteFile, &g chOrgByte, 
sizeof(BYTE), NULL); 


首先 需要 “ 脱 钧 ”( OBIRAPI "fJ", AREKE FERRARS FES 836 1E 26 VAL FH 
WriteFile)P&2 (i8 Bm “脱钩 ”人 “钩子 ”部 分 中 的 相关 说 明 )。 类 似 “ 钩 子 ”、“ 脱 钧 ” 
的 方法 也 非常 简单 ， 只 要 将 0xCC 恢 复原 值 (g chOrgByte ) 即 可 。 

提示 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
可 以 根据 实际 需要 取消 对 相关 API 的 调用 ,也 可 以 调用 用 户 自 定义 的 MyWriteFile( 
函数 ， 所 以 “脱钩 ”过 程 不 是 必须 的 。 使 用 时 ， 要 根据 具体 情况 灵活 选择 处 理 方法 。 


#2. 获取 线程 上 下 文 (Thread Context) 

这 是 第 一 次 提 到 “线程 上 下 文 "， 所 有 程序 在 内 存 中 都 以 进程 为 单位 运行 ， 而 进程 的 实际 指 
令 代 码 以 线程 为 单位 运行 。Windows OS 是 一 个 多 线程 ( multi-thread ) 操作 系统 ， 同 一 进程 中 可 
以 同时 运行 多 个 线程 。 多 任务 (multi-tasking ) 是 将 CPU 资 源 划 分 为 多 个 时 间 片 (time-slice )， 然 
后 平等 地 逐一 运行 所 有 线程 (考虑 线程 优先 级 )。CPU 运 行 完 一 个 线程 的 时 间 片 而 切换 到 其 他 线 
程 时 间 片 时 ， 它 必须 将 先前 线程 处 理 的 内 容 准 确 备份 下 来 ， 这 样 再 次 运行 它 时 才能 正常 无 误 。 

再 次 运行 先前 线程 时 ， 必 须 有 运行 所 需 信息 ， 这 些 重要 信息 指 的 就 是 CPU 中 各 寄存 器 的 值 。 
通过 这 些 值 ， 才 能 保证 CPU 能 够 再 次 准确 运行 它 ( 内 存 信息 栈 & 堆 存在 于 相应 进程 的 虚拟 空间 ， 
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不 需要 另外 保护 )。 负 责 保存 线程 CPU 寄存 器 信息 的 就 是 CONTEXT 结 构 体 ( 每 个 线程 都 对 应 一 个 
CONTEXT 结 构 体 )， 它 的 定义 如 下 ( 出处: MS VCH: winnt.h ): 


typedef struct CONTEXT { 
DWORD ContextFlags; 


DWORD Dr; 
DWORD Dri; 
DWORD Dr2; 
DWORD  Dr3; 
DWORD Dré; 
DWORD Dry; 


FLOATING SAVE AREA FloatSave; 


DWORD SegGs; 
DWORD SegFs; 
DWORD SegEs; 
DWORD SegDs; 


DWORD Edi; 
DWORD Esi; 
DWORD Ebx; 
DWORD Edx; 
DWORD Ecx; 
DWORD Eax; 
DWORD Ebp; 
DWORD Eip; 


DWORD SegCs; 
DWORD EFlags; 
DWORD Esp; 

DWORD SegSs; 


byte ExtendedRegisters[MAXIMUM SUPPORTED EXTENSION]; 
) CONTEXT; 


下 面 是 获取 线程 上 下 文 的 代码 。 


// 获取 线程 上 下 文 
ctx.ContextFlags = CONTEXT CONTROL; 
GetThreadContext(g cpdi.hThread, &ctx); 
像 这 样 调用 GetThreadContext() API ( 出 处 : MSDN )， 即 可 将 指定 线程 (g_cpdi.hThread ) 的 
CONTEXT 存 储 到 ctx 结 构 体 变量 ( g_cpdi.hThread 是 被 调试 者 的 主线 程 句柄 )。 
BOOL WINAPI GetThreadContext( 
HANDLE hThread, 
LPCONTEXT lpContext 
) ; 
#3. 获取 WriteFile() 的 param 2、3 值 
调用 WriteFileO 函 数 时 , 我 们 要 在 传递 过 来 的 参数 中 知道 param2 ( 数据 缓冲 区 地 址 ) 与 param3 
(缓冲 区 大 小 ) 这 2 个 参数 。 函 数 参 数 存 储 在 栈 中 ， 通 过 机 中 获取 的 CONTEXT.Esp 成 员 可 以 分 别 
获得 它们 的 值 。 
// 函数 参数 存在 于 相应 进程 的 栈 
// param 2 : ESP + 0x8 


// param 3 : ESP + 0xC 
ReadProcessMemory(g_cpdi.hProcess, (LPVOID)(ctx.Esp + 0x8), 
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&dwAddrOfBuffer, sizeof(DWORD), NULL); 
ReadProcessMemory(g cpdi.hProcess, (LPVOID)(ctx.Esp + OxC), 
&dwNumOfBytesToWrite, sizeof(DWORD), NULL); 
提示 
e 存储 在 dwAddrOfBuffer 中 的 数据 缓冲 区 地 址 是 被 调试 者 (notepad.exe ) 虚拟 内 
存 空间 中 的 地 址 。 
e param2 与 param3 分 别 为 ESP+0x8、ESP+0xC， 原 因 请 参考 第 7 章 。 





#4.~#8. 把 小 写字 母 转换 为 大 写字 母后 履 写 WriteFile() 缓 冲 区 

获取 数据 缓冲 区 的 地 址 与 大 小 后 , 将 其 内 容 读 到 调试 器 的 内 存 空间 , 把 小 写字 母 转换 为 大 写 
字母 。 然 后 将 修改 后 的 大 写字 母 覆 写 到 原 位 置 〈 被 调试 者 的 虚拟 内 存 )。 整 个 代码 不 难 ， 结 合 代 
码 中 的 注释 就 能 轻松 理解 。 
// 84. g st EE 


lpBuffer = (PBYTE)malloc(dwNumOfBytesToWrite+1); 
memset(lpBuffer, 0, dwNumOfBytesToWrite+1); 


// #5.#*lWWriteFile()# E Els Br E 

ReadProcessMemory(g cpdi.hProcess, (LPVOID)dwAddrOfBuffer, 
lpBuffer, dwNumOfBytesToWrite, NULL); 

printf(“Nn### original string : %s\n”, lpBuffer); 


// #6. 将 小 写字 母 转换 为 大 写字 母 
for( i = 0; i < dwNumOfBytesToWrite; i++ ) 
1 
if( 0x61 <= lpBuffer[i] && lpBuffer[i] <= 0x7A ) 
lpBuffer[i] -= 0x20; 


) 
printf(“Nn### converted string : %sNn”, lpBuffer); 


// # .将 变换 后 的 缓冲 区 复制 到 WriteFiLe() 绥 冲 区 
WriteProcessMemory(g_cpdi.hProcess, (LPVOID)dwAddrOfBuffer, 
lpBuffer, dwNumOfBytesToWrite, NULL); 


// #8. 释放 临时 丝 冲 区 
free(lpBuffer); 


#9. 把 线程 上 下 文 的 EIP 修 改 为 WriteFile() 起 始 地 址 

下 面 将 过 中 获取 的 CONTEXT 结 构 体 的 Eip 成 员 修改 为 WriteFile0 的 起 始 地 址 。E 了 PP 的 当前 地 址 
为 WriteFile0+1 (参考 前 面 “# 执 行 流 ” 中 的 说 明 )。 

修改 好 CONTEXT.Eip 成 员 后 ， 调 用 SetThreadContext(O API, 


// (当前 为 WriteFitLe()+1 位 置 ，INT3 命 令 之 后 ) 
ctx.Eip = (DWORD)g pfWriteFile; 
SetThreadContext(g cpdi.hThread, &ctx); 


下 面 是 SetThreadContext() API ( 出 处 : MSDN ): 


BOOL WINAPI SetThreadContext( 
HANDLE hThread, 
const CONTEXT *lpContext 
); 
#10. 运行 调试 进程 
一 切 准备 就 绪 后 ， 接 下 来 就 要 正常 调用 WriteFile0 APIT 。 调 用 ContinueDebugEventO API 可 
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以 重启 被 调试 进程 , 使 之 继续 运行 。 由 于 在 如 已 经 将 CONTEXTEip 修 改 为 WriteFile0 的 起 始 地 址 ， 
所 以 会 调用 执行 WriteFile()。 


ContinueDebugEvent (pde->dwProcessId, pde-»dwThreadId, DBG CONTINUE); 
Sleep(0); 


Sleep(0) 有 什么 用 ?一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 

首先 用 源 代码 运行 测试 ， 然 后 对 Sleep(0) 语 句 进行 注释 处 理 ， 再 次 运行 测试 ( 请 在 
notepad 中 输入 文本 后 ,快速 反复 保存 )。 比 较 2 种 测试 结果 ， 并 思考 有 什么 不 同 ， 以 
及 产生 不 同 的 原因 。 





#11. i£ EAPI “$F” 
最 后 设置 API “钩子 ,方便 下 次 钩 取 操作 ( 若 略 去 该 操作 , 由 于 要 中 已 经 “ 脱 钓 ”, WriteFile() 
API 钩 取 将 完全 处 于 “脱钩 ”状态 )。 


WriteProcessMemory(g cpdi.hProcess, g pfWriteFile, &g_chINT3, 
sizeof(BYTE), NULL); 


DebugLoop0 函 数 的 讲解 到 此 结束 。 建 议 大 家 在 实际 的 代码 调试 过 程 中 分 别 查看 各 结构 体 的 
值 ， 经 过 几 次 调试 后 ， 相 信 大 家 都 能 掌握 程序 的 执行 流程 。 

Mg -m 
从 Windows XP 开始 就 可 以 调用 DebugSetProcessKillOnExit() AAT, RAITAR 
销毁 被 调试 进程 就 退出 ( detach ) 调 试 器 。 需 要 注意 的 是 ,必须 在 调试 器 终止 前 “脱钩 ”。 
否则 , 调用 API 时 就 会 因为 其 起 始 部 分 仍 为 0xCC 而 导致 EXCEPTION BREAKPOINT 
异常 。 由 于 此 时 不 存在 调试 器 ， 所 以 终止 被 调试 进程 。 








提示 


关于 调试 器 工作 原理 与 异常 的 内 容 请 参考 第 48 章 。 









Q. 在 OnExceptionDebugEvent() 函 数 中 调用 了 ContinueDebugEvent() 函 数 后 ， 为 什么 还 要 
调用 Sleep(0) 函 数 ? 

A. 调用 Sleep(0) 函 数 可 以 释放 当前 线程 的 剩余 时 间 片 ， 即 放弃 当前 线程 执行 的 CPU 时 间 片 。 
也 就 是 说 ， 调 用 Sleep(0) 函 数 后 ，CPU 会 立即 执行 其 他 线程 。 被 调试 进程 (Notepad.exe ) 
的 主线 程 处 于 运行 状态 时 ， 会 正常 调用 WriteFile() API。 然 后 经 过 一 定时 间 ， 控 制 权 再 次 
转移 给 HookDbg.exe，Sleep(0) 后 面 的 “钩子 ”代码 ( WriteProcessMemory() API ) 会 被 调 

用 执行 。 若 没有 Sleep(0) 语 身 ，Notepad.exe 调 用 WriteFile() API 的 过 程 中 ，HookDbg.exe 会 

尝试 将 WriteFile() API 的 首 字 节 修改 为 0xXCC。 车 运气 不 佳 ， 这 可 能 会 导致 内 存 访问 异常 。 









第 31 章 “关于 调试 器 


调试 器 (Debugger) 是 代码 逆向 分 析 人 员 常 用 的 调试 工具 。 
本 章 将 讲解 目前 代码 逆向 分 析 领 域 中 常用 的 调试 器 。 


31.1 OllyDbg 


http://www.ollydbg.de 

如 图 31-1 所 示 ，OllyDbg 是 一 款 免费 的 调试 器 ， 轻 量 、 快 速 ， 使 用 方便 。 虽 然 免 费 ， 但 它 仍 
然 拥有 强大 又 多 样 的 功能 , 且 支 持 插件 扩展 ,得 到 广大 逆向 分 析 人 员 的 青睐 。OllyDbg 人 气 很 高 ， 
使 用 范围 非常 广泛 ， 代 码 逆向 分 析 技术 各 阶段 人 员 都 在 使 用 它 。 

OllyDbg 的 优点 是 体积 轻 量 , 运行 快速 ,提供 多 样 化 的 功能 与 众多 选项 ,， 并且 支 持 插 件 扩展 。 
由 于 OllyDbg 用 户 群 体 庞大 , 基于 OllyDbg 的 代码 闭 向 分 析 讲 座 非 常 多 , 所 以 初学 者 能 够 更 轻松 地 
学 习 。 还 有 ， 它 是 完全 免费 的 ， 这 也 是 非常 大 的 优势 。 








图 31-1 OllyDbg 


它 的 缺点 是 ， 由 于 OllyDbg 是 个 人 开发 的 工具 ( 兴趣 使 然 )， 其 更 新 速度 慢 ， 后 续 版 本 的 开发 
周期 非常 长 ， 目 前 仅 更 新 到 Ver2.0 版 本 。Ver2.0 与 以 前 版 本 相 比 ， 用 户 界 面 一 样 ， 但 其 内 部 代码 
完全 重 写 , 运行 速度 与 准确 性 得 到 极 大 提升 。 可 令 人 遗憾 的 是 , 它 尚 不 支持 64 位 系统 环境 下 的 调 
试 工作 。 


31.2 IDA Pro 


http://www.hex-rays.com/idapro 
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Hex-rays 公 司 出 品 的 IDA Pro 可 以 说 是 目前 最 强大 的 反 汇编 器 & 调 试 器 。 以 前 它 具 有 极其 明显 
的 反 编译 器 特征 ， 但 通过 不 断 升级 、 调 整 ， 其 调试 器 功能 也 变 得 相当 强大 。IDA Pro 拥 有 庞大 又 
多 样 的 功能 ， 市 场 中 甚至 出 现 了 专门 介绍 的 图 书 。 安 装 反 编译 插件 (Decompiler Plugin) 可 以 为 
代码 逆向 分 析 提 供 极 大 便利 , 这 也 带动 了 它 的 价格 。 现 在 许多 代码 逆向 分 析 专 家 都 将 它 作 为 主要 
的 分 析 工 具 ， 作 为 一 款 专业 的 代码 逆向 分 析 工 具 ，IDA Pro 的 霸主 地 位 不 可 动 播 (参考 图 31-2 )。 

IDA Pro 的 优点 是 拥有 极其 丰富 的 功能 ， 有 些 你 甚至 根本 不 会 用 到 ， 并 且 更 新 及 时 、 专 业 、 
完整 ， 但 其 价格 比较 昂贵 ， 使 用 起 来 比较 复杂 ， 初 始 加 载 时 间 也 较 长 。 


— mem Wee we 
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图 31-2 IDA Pro 
提示 ——————————————M == ===——— 
IDA Pro 是 收费 软件 ,但 其 官方 网 站 上 也 提供 Demo Version 5 Free Version 版 本 ( X 
些 功能 受 限 ) 供 大 家 免费 试用 ， 个 人 用 户 可 以 下 载体 验 。 


31.3 WinDbg 


http://www.microsoft.com/whdc/DevTools/Debugging/default.mspx 

WinDbg 是 Windows 平 台 下 的 调试 工具 ， 其 前 身 是 DOS 系 统 下 的 16 位 调试 器 debug.exe， 它 是 
微软 对 外 提供 的 免费 Windows 调 试 器 ( 参考 图 31-3 )。 

OllyDbg 与 IDAPro 属 于 用 户 态 调 试 器 ， 由 于 功能 强大 、 使 用 方便 ， 在 用 户 模 式 调 试 中 占据 统 
治 地 位 。WinDbg 既 是 用 户 态 调试 器 也 是 内 核 态 调试 器 ， 但 主要 用 于 内 核 模 式 调 试 。 自 从 另 一 个 
大 名 易 易 的 内 核 级 调试 工具 SoftICE 停 止 开 发 后 ，WinDbg 在 内 核 调试 领域 中 成 为 事实 上 的 霸主 
(无 竞争 对 手 )。WinDbg 历 史 和 久远 ， 功 能 丰富 而 强大 ， 使 用 方法 较为 复杂 ， 市 面 上 有 专门 的 讲解 
图 书 。 

WinDbg 调 试 器 的 优点 是 支持 内 核 级 别 的 调试 ， 并 且 是 微软 直接 开发 的 调试 器 。 此 外 ， 它 还 
是 免费 的 ,支持 64 位 系统 下 的 调试 ， 这些 都 是 它 不 可 或 缺 的 优势 。 借 助 它 , 我 们 可 以 直接 下 载 系 
统 文件 符号 ( Symbol )， 获 取 系 统 内 部 结构 体 〈 含 尚未 公开 的 ) 及 API 的 相关 信息 。 它 还 可 以 用 
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来 读 取 、 分 析 Windows OS 的 转 储 文件 ， 帮 助 分 析 发 生 系统 前 溃 (Crash) 的 原因 。 
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图 31-3 WinDbg 


虽然 winDbg 也 提供 图 形 用 户 界 面 ， 但 与 其 他 调试 器 相 比 却 不 尽 如 人 意 ， 并 不 好 用 ( 比如 ， 
不 能 直接 在 代码 中 输入 注释 、 反 汇编 代码 中 调用 的 API 名 称 显 示 得 不 够 好 等 ), 尽管 如 此 , WinDbg 
调试 器 仍 是 开发 内 核 驱 动 与 系统 维护 过 程 中 的 必 备 工具 , 在 代码 逆向 分 析 中 分 析 内 核 驱动 文件 时 
也 一 定 会 用 到 。 近 来 ， 人 们 进行 内 核 调 试 时 通常 会 结合 使 用 WinDbg 与 VirtualPC (或 者 VMWare ) 
工具 。 各 位 的 逆向 分 析 技 术 水 平 有 所 提高 后 ， 分 析 内 核 驱动 时 会 经 常用 到 它 。 
提示 
图 31-4 是 Debug.exe 的 运行 界面 ,从 16 位 DOS 操作 系统 开始 就 一 直 是 默认 提供 的 。 





ndowsiesystem32Wcmd exe - debug notepad.exe 














图 31-4 Debug.exe 


debug.exe 在 控制 台中 通过 键盘 输入 调试 ，WinDbg 拥有 与 debug.exe 相同 的 用 户 界 
面 ， 支 持 强大 的 调试 命令 ( 我 非常 喜欢 用 这 种 基于 控制 台 命 令 行 的 程序 ， 但 也 有 相当 
多 的 用 户 拒 绝 使 用 )。 
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API 钩 取 技 术 中 有 一 种 是 通过 注入 DLL 文件 来 钩 取 某 个 API 的 , DLL 文 件 注 入 目标 进程 后 , 修 
改 IAT 来 更 改进 程 中 调用 的 特定 API 的 功能 。 

本 章 讲解 API 钧 取 技 术 时 将 以 Windows 计 算 器 ( calc.exe ) 为 示例 ， 向 计算 器 进程 插入 用 户 的 
DLL X ft, £j HC IAT B user32.SetWindowTextW() API 地 址 。 负 责 向 计算 器 显示 文本 的 
SetWindowTextW() API 被 钧 取 之 后 , 计算 器 中 显示 出 的 将 是 中 文 数字 , 而 不 是 原来 的 阿拉 伯 数 字 ， 
如 下 图 所 示 。 


























£JH SetWindowTextW() API 后 


32.1 技术 图 表 


图 32-1 的 API 钧 取 技 术 图 表 中 , 带 有 下 划 线 的 部 分 就 是 “通过 DLL 注 入 实现 IAT 钓 取 的 技术 ”。 
这 项 技术 的 优点 是 工作 原理 与 具体 实现 都 比较 简单 只 需 先 将 要 钓 取 的 API 在 用 户 的 DLL 中 重 定 
X, 然后 再 注入 目标 进程 即 可 ); 缺点 是 ， 如 果 想 钓 取 的 API 不 在 目标 进程 的 [AT 中 ， 那 么 就 无 法 
使 用 该 技术 进行 钧 取 操 作 。 换 言 之 ， 如 果 要 钓 取 的 API 是 由 程序 代码 动态 加 载 DLL 文 件 而 得 以 使 


用 的 ， 那 么 我 们 将 无 法 使 用 这 项 技术 钓 取 它 。 


方法 对 象 位 置 技术 
i 是 什么 何 处 in 
x i DebugActiveProcess 
ww GetThreadContext 
_ SetThreadContext 


B-1) — 
Independant CreateRemoteThread 
代码 
Registry(Applnit_DLLs) 
B-2) BHO (IE only) 
DLL 文件 


SetWindowsHookEx 
CreateRemoteThread 





















图 32-1 技术 图 表 
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32.2 ” 选 定 目标 API 


确定 了 任务 目标 ， 并 且 选 择 了 要 使 用 的 API 钩 取 技 术 后 ， 接 下 来 的 重要 一 步 是 选 定 目标 API， 
即 要 钧 取 的 API。 初 学 者 往往 不 知 所 措 ， 因 为 他 们 不 知道 究竟 哪个 API 提 供 了 要 钩 取 的 那个 功能 。 
操作 系统 中 ， 某 项 功能 最 终 都 是 由 某 个 或 某 些 API 提 供 的 ， 比 如 创建 文件 由 kernel32!CreateFile() 
API 负 责 ， 创 建 注 册 表 新 键 由 advapi32!RegCreateKeyEx() API 负 责 ， 网 络 连接 由 ws2_32!connectO 
API 等 负责 。 对 拥有 丰富 开发 经 验 或 逆向 技术 知识 的 人 来 说 ， 他 们 能 够 很 容易 地 想起 需要 的 API。 
而 对 于 尚未 掌握 这 部 分 知识 的 人 而 言 ， 要 知道 答案 必须 先 学 会 检索 。 如 果 要 钧 取 尚 未 公开 的 API 
( undocumented API )， 就 必须 学 会 使 用 检索 功能 。 背 搜索 不 到 ， 可 以 先 根 据 已 有 经 验 (或 直觉 ) 
推测 ， 然 后 再 验证 确认 。 

选 定 API 前 要 先 明确 任务 目标 。 本 章 示例 的 目标 是 “把 计算 器 的 文本 显示 框 中 显示 的 阿拉 伯 
数字 更 改 为 中 文 数字 ”。 首 先 ， 使 用 PEView 工 具 查看 计算 器 ( calc.exe ) 中 导入 的 API， 如 图 32-2 
所 示 。 


RVA 










..Data _ Description . 


Lu allip 


€———— 





Virtual Address 














0D00110C —— 77D1511C D03B CheckRadioButton 
00001114 7T7CF8137 Virtual Address 0256 SetFocus 
00001118 — 77CF630D Virtual Address 024D SetCursor ， 
0000111C 77CFA216 Virtual Address 002C CharNextVV 
00001120 77CFB898 Virtual Address 0218 RegisterClassExW 
00001124 77CF7993 Virtual Address 015B GetSysColorBrush 
00001128 77CF48EF Virtual Address DIBA LoadCursorW 
DO00112C X 77CFADC4 Virtual Address O01BC LoadlconW 
00001130 77CF590C Virtual Address 0193 InvalidateRect 
00001134 77CF7CBB Virtual Address 02BB UpdateWindow 
00001138 77CF7D27 Virtual Address 0292 ShowWindow 
O000113C ^ 77CF5E37 Virtual Address 0240 SendM 

00001140 ^ 77CFFE2D Virtual Address 0254 [SetDlg 

00001144 . 77D0C98C Virtual Address 0039 





图 32-2 calc.exe 的 IAT 


图 32-2 中 有 2 个 API 引 人 注目 ,分别 为 SetWindowTextW(、SetDlgItemTextW(), 它们 负责 向 计 
算 器 的 文本 显示 框 中 显示 文本 。 由 于 SetDlgItemText WO 在 其 内 部 又 调用 了 SetWindowTextWO, 所 
以 我 们 先 假设 只 要 钓 取 SetWindowTextWO 这 1 个 API 就 可 以 了 。SetWindowTextW( API 定 义 ( 出 处 : 
MSDN ) 如 下 : : 


BOOL SetWindowText( 
HWND hwnd, 
LPCTSTR lpString 

); 


它 拥有 2 个 参数 ， 第 一 个 参数 为 窗口 句柄 (hWnd )， 第 二 个 参数 为 字符 串 指针 (lpString )。 其 
中 ,我 们 感 兴趣 的 是 第 二 个 参数 一 一 字符 串 指针 (lpString )。 钧 取 时 查看 字符 串 ( IpString ) 中 的 
内 容 ， 将 其 中 的 阿拉 伯 数 字 更 改 为 中 文 数字 就 行 了 。 

EN 
API 名 称 中 最 后 面 的 “W” 表 示 该 API 是 宽 字 符 (Wide character) 版 本 。 与 之 对 
应 , 若 API 名称 最 后 面 的 字符 为 “A”, 则 表示 该 API 是 ASCII 码 字符 ( ASCII character ) 
版 本 。Windows OS 内 部 使 用 的 宽 字 符 指 的 就 是 Unicode 码 。 

如 : SetWindowTextA(), SetWindowTextW() 


下 面 使 用 OllyDbg 验 证 上 面 的 猜测 是 否 正确 。 
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Jes f C H C 三 -= = 全 一 
示例 中 使 用 的 是 Windows XP SP3 ( 32 位) 中 的 calc.exe，Windows Vista, 7 (32 
位 ) 中 的 calc.exe 工作 原理 也 是 一 样 的 。 


如 图 32-3 所 示 ， 使 用 鼠标 右键 菜单 的 Search for All intermodular calls 命 令 ， 查 找 计算 器 
( calc.exe ) 代码 中 调用 SetWindowTextW() API 的 部 分 。 然 后 在 所 有 调用 它 的 地 方 设 置 断 点 ， 运 行 
计算 器 ( calc.exe )， 调 试 器 在 设置 断 点 的 地 方 暂停 ， 如 图 32-4 所 示 。 


{Destination 
CALL DWORD PTR DS ER32.SetWindouLongW 
CALL DWORD PTR DS:[1001168] |USER32.SetWindowLongW 


CALL DWORD PTR DS:[198114C] |USER22.SetVindowPos 
CALL DWORD PTR DS:[4100118C] | USER32.SetWindowPos 
CALL DWORD PTR DS:[100114C] | USER32.SetWindowPos 
CALL DWORD PTR DS:[100114C] _USER32.SetWindowPos 


CALL DWORD PTR AH 190111 ES A 


CALL DWORD PTR ps: [100199€] | ELL32- eli bo nt 
CALL DWORD PTR DS:[1001138] |USER32.ShowWindow 
CALL DWORD PTR DS:[1001138] | USER32. ShowWindow 
CALL DWORD PTR DS:[1001138] | USERI2.ShowWindow 
CALL DWORD PTR DS:[1001138] | USER32. ShowWindow 








图 32-3 ”calc.exe 内 部 调用 SetWindowTextW() API 


在 图 32-4 中 查看 栈 窗口 ， 可 以 看 到 SetWindowTextW() API 的 lpString 参 数 的 值 为 7FB5C 
( OllyDbg 中 指出 它 是 一 个 “Text” )。 进 入 7FB5C 地 址 ， 可 以 看 到 字符 串 “0.” 被 保存 为 Unicode 码 
形式 。 该 字符 串 就 是 显示 在 计算 器 显示 框 中 的 初始 值 ， 继 续 运 行 。 


81882621 
901802625 
81882627 






- FF7424 40 
. 8BF8 
. 56 






PUSH DWORD PTR SS:[ESP*18] 
MOU EDI,ERX 
PUSH ESI 












Text = "7??.Wxh2Ux90?7??Ux01 





hund = 881A81CA (oras Ed 





. PUSH ESI 
- FF15 15118801|CRLL DWORD PTR DS:[1001114] 
57 PUSH EDI 
PUSH EDI 
PUSH 851 






| 86180262E 
81808262F 
801882635 
81802636 
818982637 


hind = Kram (class="Ed 
SetFocus 


lParam = 3 
Ex = 3 


Message = EM_SETSEL 









- 68 B1000000 


< ll 
ps :[810011108]=77D0960E (USER32.SetWindouTextW) 





图 32-4 在 SetWindowTextW0 的 断 点 处 暂停 
如 图 32-5 所 示 ， 计算 器 ( calc.exe ) 正常 运行 后 ， 显 示 框 中 显示 图 32-4 中 的 字符 串 “0.”( “.” 


是 计算 器 自动 添加 的 字符 串 )。 为 了 继续 调试 , 在 计算 器 中 随意 输入 数字 7。 由 于 前 面 已 ER 
断 点 ， 所 以 调试 器 会 在 设置 的 断 点 处 暂停 ， 如 图 32-4 所 示 。 























图 32-5 ”calc.exe 的 初始 运行 画面 
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如 图 32-6 所 示 ， 保 存在 Text 参 数 中 的 字符 串 地 址 为 7F978， 与 图 32-4 中 的 7FB5C 不 同 。 进 入 
7F978 地 址 ， 可 以 看 到 输入 的 字符 串 “7.”( 末尾 的 “.” 是 由 计算 器 自动 添加 的 字符 串 )。 下 面 尝 
试 把 阿拉 伯 数 字 “7” 更 改 为 中 文 数字 “七 ”", 测试 一 下 。 请 注意 : 中 文 数字 “七 ”对 应 的 Unicode 
人 码 为 4e03。 


FF7424 18 
8BF8 


81892621 || . Text = '"??.Wx0290x98??77Ux681 
91802625 ||. 


01882627 








PUSH DWORD PTR SS:[ESP*18] 













hind = 881Bü1CR 







hund = 68188 
SetFocus 
lParam = 3 

EZ = 3 


Message = EM SETSEL 








81808262E 
81868262F 
61882635 ||. 57 
61802636 ||. 57 
01882637 ||. 68 B10086880 





- FF15 1154118001 CRLL DWORD PTR DS:[180111^] 


PUSH EDI 
PUSH EDI 
PUSH 881 


i T 


图 32-6 在 SetWindowTextW0O 的 断 点 处 暂停 


提示 
Unicode 码 中 每 个 汉字 占用 2 个 字 节 。 


Edit data at 0007F978 





图 32-7 更 改 为 中 文 数字 “七 ” 


由 于 X86 系列 的 CPU 采 用 小 端 序 标记 法 ， 所 以 履 写 时 要 逆序 (034e) 进行 。 如 上 所 示 ， 修 改 
T SetWindowTextW() API 的 lpString ( 或 Text ) 参数 内 容 后 ， 继 续 运行 计算 器 ， 可 以 看 到 原本 显示 
在 计算 器 中 的 阿拉 伯 数 字 “7” 变 为 了 中 文 数字 “七 "， 如 图 32-8 所 示 。 























É 


图 32-8 ” 变 为 中 文 数字 “七 ” 
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对 SetWindowTextW() API 的 验证 到 此 结束 ,验证 结果 表明 我 们 前 面 的 猜测 完全 正确 。 经 过 上 
述 过 程 ， 我 们 知道 了 代码 中 调用 SetWindowTextW() API 的 位 置 ( 01002628 )， 并 且 确 定 了 一 个 事 
Sc. 只 要 修改 参数 字符 串 中 的 内 容 ， 就 能 修改 计算 器 中 显示 的 格式 。 下 面 继续 学 习 IAT 钩 取 操作 
及 实现 原理 ， 并 讲解 计算 器 SetWindowTextW() API 的 IAT 钩 取 源 代码 。 


32.3 IAT RIER 


进程 的 IAT 中 保存 着 程序 中 调用 的 API 的 地 址 。 
提示 
有 关 IAT 的 说 明 请 参考 第 13 章 。 


IAT 钧 取 通 过 修改 IAT 中 保存 的 API 地 址 来 钩 取 某 个 API。 请 先 看 图 32-9。 


<calc.exe 进程 : 钧 取 之 前 > 





calc.exe 











;calcexef97AT 区 域 
01001110 OE96D077  ; 77D0960E (user32!SetWindowTextW0) 
icalc exe 的 代码 区 域 y 
01002628 FF1510110001 CALL DWORD PTR [01001110] 
e u 
@ ` 
'Q 


"user32.dll" 














图 32-9 正常 调用 SetWindowTextW0 API 的 程序 执行 流 


图 32-9 描 述 的 是 计算 器 ( calc.exe ) 进程 正常 调用 user32.SetWindowTextW() API 的 情形 。 地 址 
01001110 属 于 IAT 区 域 ， 程 序 开 始 运行 时 ，PE 装 载 器 会 将 user32.SetWindowTextW0O API 地 址 
( 77D0960E ) 记录 到 该 地 址 (01001110 )。01002628 地 址 处 的 CALL DWORD PTR [01001110] 指 令 
最 终 会 调用 保存 在 01001110 地 址 (77D0960E ) 处 的 函数 ， 直 接 等 同 于 CALL 77D0960E 命 令 。 

执行 地 址 01002628 处 的 CALL 命 令 后 ， 运 行将 转移 至 user32.SetWindowTextW0 函 数 的 起 始 地 
址 (77D0960E ) 处 (9)， 也 数 执行 完毕 后 返回 CQ). 

下 面 看 看 IAT 被 钩 取 后 计算 器 进程 的 运行 过 程 ， 如 图 32-10 所 示 。 


323 IAT 4 T 4E/$32 313 








«calcexeXtiz: fHWz Bj 





m 


calc.exe" 
otoo1110 00100000 ; 10001000 (hookiatiMySetWindowTextWO) ` 













oe 


01002628 FF1510110001 CALL DWORDPTRÍOI001110]- 
NK 


- 
` 
x 


_hookiat。 dll" + i sai DLL 


TetW) 的 起 风化 码 
10001000 51; HO 


1000107D FF13ÉaB6o010 CALLDWORDPTRI 10008688] —— 
io v < C20800 REIN8 U 








Riiie RE m 1. 00 000 0 o 
: ^ ; 00 gowkQsesHeM wow) — | 


. user32. dll" ' @ 


| ;user2 SetWindowTextW) hee fea v 
77D0960E dBFF ^ MOVEDLEDI - 








r 
, 
D 
D 


77009646 < C20800 RETN8 ` 























图 32-10 IAT 被 钧 取 后 SetWindowTextW0O 的 调用 流程 
钩 取 IAT 前 ， 首 先 向 计算 器 进程 (calc.exe ) 注入 hookiat.dll 文 件 。 


提示 
关于 DLL 注入 的 讲解 请 参考 第 23 章 。 





hookiat.dll 文 件 中 提供 了 名 为 MySetWindowTextW0O 的 钧 取 函 数 ( 10001000 )。 

地 址 01002628 处 的 CALL 命 令 与 图 32-9 中 的 CALL 命 令 完全 一 致 。 但 是 跟踪 进入 01001110 地 址 
中 可 以 发 现 ， 它 的 值 已 经 变 为 10001000， 地 址 10001000 是 hookiat.MySetWindowText WO 函数 的 起 
始 地 址 。 也 就 是 说 , 在 保持 运行 代码 不 变 的 前 提 下 , 将 IAT 中 保存 的 API 起 始 地 址 变 为 用 户 函 数 的 
起 始 地 址 。 这 就 是 IAT 钓 取 的 基本 工作 原理 。 

执行 完 01002628 地 址 处 的 CALL 命 令 后 ， 运 行 转 到 hookiatMySetWindowTextW0 函 数 的 起 始 
地 址 (10001000) (GD )， 经 过 一 系列 处 理 后 ， 执 行 1000107D 地 址 处 的 CALL 命 令 ， 转 到 ( 原来 要 
调用 的 ) user32.SetWindowTextW0O 函 数 的 起 始 地 址 (Q )。 

提示 

地 址 1000B6B8 位 于 hookiat.dll 的 data 节 区 ， 它 是 全 局 变量 g_pOrgFunc 的 地 址 。 
注入 DLL 时 ，DllMain0 会 获取 并 保存 user32.SetWindowTextW0 函 数 的 起 始 地 址 。 





user32.SetWindowTextW() API 执 行 完 毕 后 ， 执 行 会 返回 到 hookiat.dll 的 1000107D 地 址 的 下 一 

指令 (加)， 然 后 返回 到 01002628 地 址 Ccalc exe 的 代码 区 域 ) 的 下 一 条 指令 继续 执行 (OD). 
也 就 是 说 ， 程序 调用 user32.SetWindowTextW() API 之 前 ， 会 先 调 用 hookiat.MySetWindowTextWO 
函数 。 像 这 样 ， 先 向 目标 进程 ( calc.exe ) 注入 用 户 DLL ( hookiat.dll )， 然 后 在 calc.exe 进 程 的 IAT 
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的 


区 域 中 更 改 4 个 字 节 大 小 的 地 址 ， 就 可 以 轻松 钧 取 指 定 API ( 这 种 通过 修改 IAT 来 钩 取 API 的 技术 
也 称 为 IAT 钩 取 技 术 ), 希望 各 位 先 理解 上 面 讲解 的 I[AT 钓 取 工 作 原 理 , 再 跟着 做 后 面 的 练习 示例 。 


324 练习 示例 


本 练习 示例 的 目标 是 在 计算 器 的 显示 框 中 用 中 文 数字 代替 原来 的 阿拉 伯 数 字 。 为 达成 目标 ， 
本 方 中 我 们 将 使 用 前 面 讲 过 的 “通过 修改 IAT 来 实现 API 钩 取 的 技术 ”。 
提示 
hookiat.dll 5 InjectDIl.exe Pn VC++ Express Edition 编写 而 成 ,并 在 Windows XP 
SP3, Windows 7 (32 位 ) 中 通过 测试 。 





首先 复制 示例 文件 到 工作 目录 ( c:\work )， 然 后 运行 计算 器 ( calc.exe ) 程序 ， 再 使 用 Process 
Explorer 查 看 计算 央 进 程 的 PID 值 ， 如 图 32-11 所 示 。 
éz Process Explorer - Sysinternals: www.svsin... [= |E] 
File Options View Process Find DLL Users 








Help 











Eg 2 : 38 x AD 
Process PID CPU Description x 







0 9901 
400 Windows Explorer 


+ lun System Idle Process 
= X explorer,exe 









0,98 Sysinternals Proces: 
windows Calculator 













^ 





Description Company Name 


AcGenral,DLL Windows Compatibility DLL Microsoft Corporation 
ADV API32. dll Advanced Windows 32 Base ,, Microsoft Corporation 
calc,exe Windows Calculator applicati.. Microsoft Corporation «e 


> 
CPU Usage: 0.99% Commit Charge: 10,90% Processes: 22 : 


图 32-11 calc.exe 的 PID 













在 命令 行 窗 口中 输入 图 32-12 中 的 命令 ， 按 Enter 键 执行 。 


C:WWINDOWSWsystem32Wcmd.exe 





图 32-12  [h]calc.exeit A hookiat.dlI XC f/F 


可 以 在 Process Explorer 中 看 到 hookiat.dll 文 件 已 经 成 功 注 入 calc.exe， 如 图 32-13 所 示 。 
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ss Process Explorer - Sysinternals: www.sysin... DAR 
File Options View Process Find 
i mmm _ G o= 
Process PID CPU Description ^ 


+ — System Idle Process 0 93301 
g ig explorer exe —< I CRY 400 — Windows Explorer ; 

















"eas 






^ 





Name < Description Company Name 
calc,exe Windows Calculator applicati, Microsoft Corporation 
comctl32.dll User Experience Controls Lib,,, Microsoft Corporation 
ctype,nls = 
GDI32 dll GDI Client DLL Microsoft Corporation 
hookiat.dll : — x : 
IMKR12,IME Microsoft Korean IME Microsoft Corporation 
IMMS2,DLL Windows XP IMM32 API Clien,, Microsoft Corporation 
kernel32.dll Windows NT BASE API Client... Microsoft Corporation 
locale,nis 

LPK,DLL Language Pack Microsoft Corporation 


rom qu | > 
图 32-13 ”注入 calc.exe 进 程 的 hookiat.dll 
接 下 来 在 计算 器 中 任意 输入 一 些 数字 并 计算 ， 如 图 32-14 所 示 。 


可 HSS 
| ZEV SRE ENH) 
| =a 3 š 












































É]32-14 IAT 被 钓 取 后 的 calc.exe 进 程 


从 图 32-14 可 以 看 到 ， 输 入 的 所 有 数字 都 被 转换 成 了 中 文 数字 形式 ， 并 且 计 算 器 的 计算 功能 
也 非常 正常 (请 注意 ， 我 们 只 是 钧 取 了 数字 的 显示 ， 除 此 之 外 其 他 功能 均 正 常 运行 )。 下 面 尝试 
一 下 “脱钩 ”操作 。“ 脱 钓 ”就 是 把 [AT 恢复 原 值 ， 弹 出 并 印 载 已 插入 的 DLL ( hookiat.dll )。 在 命 
令 窗 口中 输入 并 执行 图 32-15 中 的 命令 。 








` C'WWINDOWSWsvystem32Wcmd.exe 





图 32-15 ”从 calc.exe 进 程 人 印 载 hookiat.dll 
执行 完 上 述 命 令 后 ， 再 次 向 计算 器 中 输入 数字 ， 如 图 32-16 所 示 。 
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[i wes 




















= 


图 32-16 “ 脱 钓 ”后 的 calc.exe 进 程 


可 以 看 到 数字 正常 显示 为 阿拉 伯 数 字形 式 ， 表 明 “ 脱 钩 ”成 功 。 
32.5 ” 源 代 码 分 析 


本 节 将 详细 分 析 示 例 程序 ( hookiat.dll ) 的 源 代 码 ， 借 此 深入 了 解 IAT 钩 取 的 工作 原理 及 具体 
实现 方法 。 
提示 
所 有 源 代码 均 使 用 VC++ 2010 Express Edition 开发 而 成 ， 且 在 Windows XP SP3、 
Windows 7 ( 32 位 ) 系统 环境 中 顺利 通过 测试 。 为 便于 讲解 ， 后面 的 源 代 码 中 省 略 了 返 
回 值 检查 与 错误 处 理 的 语句 。 








InjectDll.cpp 源 代码 与 以 前 讲解 过 的 内 容 ( 注 人 DLL 的 代码 ) 基本 结构 类 似 ( 详细 说 明 请 参 
考 第 23 章 )。 下 面 将 详细 讲解 hookiat.dll 的 源 代码 ( hookiat.cpp )。 


32.5.1 DIilMain() 

















3 E 


BOOL WINAPI Dll1Main(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID 
lpvReserved) 








switch( fdwReason ) 


1 
case DLL PROCESS ATTACH : 
// 保存 原始 API 地 址 
g pOrgFunc = GetProcAddress (GetModuleHandle(L"user32.dll"), 
"SetWindowTextW"); 
// € hook 
// | Bihookiat.MySetWindowText()45J&user32.SetWindowTextW() 
hook iat("user32.dll", g pOrgFunc, (PROC)MySetWindowTextW) ; 
break; 
case DLL PROCESS DETACH : 
// € unhook 
// 3$calc.exes&4 IAT4k & A 4i 
hook iat("user32.dll", (PROC)MySetWindowTextW, g pOrgFunc); 
break; 
L 


return TRUE; 
} 
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DIIMain() 函 数 代码 一 如 既往 地 简单 ， 下 面 看 看 其 中 比较 重要 的 代码 。 
保存 SetWindowTextW() 地 址 


case DLL PROCESS ATTACH : 
g pOrgFunc = GetProcAddress(GetModuleHandle(L"user32.dll"), 
"SetWindowTextW"); 


在 DLL PROCESS_ATTACH 事 件 中 先 获取 user32.SetWindowTextW0O API 的 地 址 , 然后 将 其 保 
存 到 全 局 变量 (g pOrgFunc )， 后 面 “脱钩 ”时 会 用 到 这 个 地 址 。 

提示 一 v — ——VUrsx H— T 
由 于 计算 器 已 经 加 载 了 user32.dll, 所 以 像 上 面 那样 直接 调用 GetProcAddress() $ žk 
不 会 有 什么 问题 。 但 实际 操作 中 ， 必 须 先 确定 提供 (要 钩 取 的 ) API 的 DLL 已 经 正常 
加 载 到 相应 进程 ( 若 相 应 DLL 在 钩 取 前 尚未 被 加 载 ， 则 应 该 先 调用 LoadLirary() API 
加 载 它 )。 


IAT£4HX 
hook iat("user32.dll", g pOrgFunc, (PROC)MySetWindowTextW); 


上 面 这 条 语句 用 来 调用 hook iat) PRI, PUAT ( 即将 user32.SetWindowTextW0 的 地 址 更 改 
为 hookiat.MySetWindowTextW() 的 地 址 ) 上 面 这 两 个 语句 是 发 生 DLL 加 载 事 件 ( DLL PROCESS_ 
ATTACH ) 时 执行 的 所 有 操作 。 

IAT“ 脱 钧 ” 


case DLL PROCESS DETACH : 
hook iat("user32.dll", (PROC)MySetWindowTextW, g pOrgFunc); 


IHI#QDLLRJZ:#h E: DLL PROCESS DETACH3E(F, RÆ, SE TÉRZERTIAT "Hif" 
(将 hookiat.MySetWindowTextW0O 的 地 址 更 改 为 user32.SetWindowTextW() 的 地 址 )。 

以 上 就 是 对 DIIMain() 函数 的 讲解 。 接 下 来 分 析 MySetWindowTextW0O 函数， 它 是 
user32.SetWindowTextW0 的 钧 取 函 数 (5.3 节 中 将 详细 说 明 hook iatO 函 数 )。 


32.5.2 MySetWindowTextW() 


Fifi MySetWindowTextW(QPÉZ, "I XéSetWindowTextW ()B IRK 


代码 32-2  MySetWindowTextW() 
BOOL WINAPI MySetWindowTextW(HWND hwnd, LPWSTR lpString) 
1 

wchar t* pNum = L” 霖 一 二 三 四 五 六 七 八 九 ”; 

wchar t temp[2] = {0,}; 

int i = 0, nLen = 0, nIndex = 0; 


nLen = wcslen(lpString); 
for(i = 0; i < nLen; i++) 
t 
// 将 阿拉 伯 数 字 转 换 为 中 文 数字 
// lpString 是 宽 字 符 版 本 (2 个 字 节 ) 字符 事 
if( L'@' <= lpString[i] && lpString[i] <= L'9” ) 
t 
temp[0] = lpString[i]; 
nIndex = wtoi(temp); 
lpString[i] = pNum[nIndex]; 





// i&Wuser32.SetWindowTextW() API 
// (d zklpString&» E PHAR) 
return ((PFSETWINDOWTEXTW)g pOrgFunc)(hWnd, lpString); 


计算 器 进程 (calc.exe ) 的 IAT 被 钓 取 后 ,每 当代 码 中 调用 user32.SetWindowTextW() 函 数 时 ， 
都 会 首先 调用 hookiat.MySetWindowTextW0O 函 数 。 

接 下 来 分 析 MySetWindowTextW0 函 数 中 的 重要 代码 。MySetWindowTextW0 函 数 的 IpString 
参数 是 一 块 缓冲 区 ， 该 缓冲 区 用 来 存放 要 输出 显示 的 字符 串 。 所 以 ， 操 作 IlpString 参 数 即 可 在 计 
算 器 中 显示 用 户 指定 的 字符 串 。 | 


nLen = wcslen(lpString); 
for(i = 0; i < nLen; i++) 


if( L'0' <= lpString[i] && lpString[i] <= L'9' ) 


Í 
temp[0] = lpString[il; 
nIndex = wtoi(temp); 
lpString[i] = pNum[nIndex]; 
} 


J 
上 述 for 循 环 将 存放 在 lpString 的 阿拉 伯 数 字 字 符 串 转换 为 中 文 数字 字符 串 。 图 35-17 描 述 的 是 
lpString 缓 冲 区 更 改 前 后 的 情形 。 


SE s T 
t 1 ` LI 2 *, LI 3 , Li i0 , 


-一 一 
EE E x 


图 32-17 更改]pString 缓 冲 区 的 内 容 


从 图 中 可 以 看 到 ， 阿拉伯 数字 “123” 被 更 改 为 了 中 文 数字 “一 二 三 ”， 即 阿拉 伯 数 字 与 中 文 
数字 是 1 : 1 的 关系 。 利 用 这 种 特性 可 以 不 加 任何 修改 地 使 用 原 缓冲 区 , 也 就 是 说 ,把 阿拉 伯 数 字 
转换 为 对 应 的 中 文 数字 时 , 缓冲 区 尺寸 并 未 改变 。 从 代码 32-2 中 可 知 ，lpString 字 符 串 的 缓冲 区 中 
直接 保存 的 是 变换 之 后 的 〈 中 文 ) 字符 串 。 

提示 

车 将 阿拉 伯 数 字 “123” 更 改 为 英文 数字 “ONETWOTHREE”,， 显然 英文 数字 要 长 

得 多 ， 所 以 不 能 直接 使 用 原 缓冲 区 ( 123 )， 而 要 先 开辟 一 块 新 缓冲 区 ， 再 将 新 缓冲 区 

的 地 址 传递 给 原始 API。 








return ((PFSETWINDOWTEXTW)g_pOrgFunc)(hWnd, lpString); 
for 循 环 结束 后 ,最 后 再 调用 函数 指针 g pOrgFunc, 它 指向 user32.SetWindowTextW0O API 的 起 
始 地 址 (该 地 址 在 DIMain(0) 中 已 经 获取 并 保存 下 来 )。 也 就 是 说 ， 调 用 原来 的 SetWindowTextW() 
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函数 , 将 (变换 后 的 ) 中 文 数字 显示 在 计算 器 的 显示 框 中 。 总 结 一 下 MySetWindowTextW0 函 数 : 
首先 更 改作 为 参数 传递 过 来 的 lpString 字 符 串 缓冲 区 中 的 内 容 ， 然 后 调用 SetWindowTextW0O 函 数 ， 
将 lpString 字 符 串 缓冲 区 中 的 (更 改 后 的 ) 内 容 显示 在 计算 器 的 显示 框 中 。 

下 一 小 节 将 分 析 hook iat0) 函 数 ， 它 具体 负责 钓 取 IAT。 


32.5.3 hook_iat() 


BOOL hook iat(LPCSTR szDllName, PROC pfnOrg, PROC pfnNew) 
1 

HMODULE hMod; 

LPCSTR szLibName; 

PIMAGE IMPORT DESCRIPTOR pImportDesc; 

PIMAGE THUNK DATA pThunk; 

DWORD dwOldProtect, dwRVA; 

PBYTE pAddr; 


// hMod, pAddr = ImageBase of calc.exe 

/4 = VA to MZ signature (IMAGE DOS HEADER) 
hMod = GetModuleHandle (NULL) ; 

pAddr = (PBYTE)hMod; 


// pAddr = VA to PE signature (IMAGE NT HEADERS) 
pAddr += *((DWORD*)&pAddr[0x3C]) ; 


// dwRVA = RVA to IMAGE IMPORT DESCRIPTOR Table 
dwRVA = *((DWORD*)&pAddr[0x80]) ; 


// pImportDesc = VA to IMAGE IMPORT DESCRIPTOR Table 
pImportDesc = (PIMAGE IMPORT DESCRIPTOR) ( (DWORD )hMod+dwRVA) ; 


for( ; pImportDesc-»Name; pImportDesc++ ) 

1 
// szLibName = VA to IMAGE IMPORT DESCRIPTOR.Name 
szLibName = (LPCSTR) ((DWORD)hMod + pImportDesc-»-Name); 


if( !stricmp(szLibName, szDllName) ) 
1 
// pThunk IMAGE IMPORT DESCRIPTOR.FirstThunk 
// VA to IAT(Import Address Table) 
pThunk = (PIMAGE THUNK DATA) ((DWORD)hMod + 
pImportDesc-»-FirstThunk); 


// pThunk-»ul.Function - VA to API 
for( ; pThunk-»ul.Function; pThunk++ ) 


if( pThunk-»ul.Function == (DWORD)pfnOrg ) 
1 
// 更 改 内 存 属性 为 E/R/W 
VirtualProtect((LPVOID)&pThunk->ul.Function, 
4, 
PAGE EXECUTE READWRITE, 
&dwOldProtect); 


// 修改 IAT 值 (H) 
pThunk->ul.Function = (DWORD)pfnNew; 


// 恢复 内 存 属 性 
VirtualProtect((LPVOID)&pThunk->ul.Function, 
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4 + 
dwOldProtect, 
&dwOldProtect); 


return TRUE; 


} 
return FALSE; 


该 函数 是 具体 执行 IAT 钓 取 的 函数 。 函 数 代码 虽然 不 长 ， 但 其 中 含有 较 多 注释 ,使 函数 自身 
看 上 去 较 长 。 接 下 来 逐一 查看 : hook iatO) 函 数 的 前 半 部 分 用 来 读 取 PE 文 件 头 信息 ， 并 查找 IAT 的 
位 置 (要 理解 这 部 分 代码 需要 先 了 解 IAT 的 结构 )。 


hMod = GetModuleHandle(NULL); // hMod = ImageBase 

pAddr = (PBYTE)hMod; // pAddr = ImageBase 

pAddr += *((DWORD*)&pAddr[0x3C]); ^ // pAddr = "PE" signature 

dwRVA = *((DWORD*)&pAddr[0x80]) ; // dwRVA = RVA of IMAGE IMPORT . 
// DESCRIPTOR 

pImportDesc = (PIMAGE IMPORT DESCRIPTOR) ( (DWORD)hMod-*dwRVA) ; 


上 面 这 几 行 代码 首先 从 ImageBase 开 始 ， 经 由 PE 签名 找到 IDT。pImportDesc 变 量 中 存储 着 
IMAGE IMPORT _DESCRIPTOR 结 构 体 的 起 始 地 址 ,后 者 是 calc.exe 进 程 IDT 的 第 一 个 结构 体 -IDT 
是 由 IMAGE _ IMPORT_DESCRIPTOR 结 构 体 组 成 的 数组 。 若 想 查找 到 IAT, 先 要 查找 到 这 个 位 置 。 
上 面 的 代码 中 ， pu 使 用 PEView 查 看 该 地 址 ， 如 图 32-18 所 示 。 


n Hf H 





| 01012584 — FFFFFFFF Time Date Stamp 
| 01012888 FFFFFFFF Forwarder Chain | 
| 01012B8C 00012642 Name RVA SHELL32 dll | 


| 01012890 O000109C — Import Address Table RVA 





| 010128594 00012DC8 Import Name Table RVA 
01012898 FFFFFFFF Time Date Stamp 
01012589C FFFFFFFF Forwarder Chain 
| 01012BA0 00012F60 Name RVA msvcrt.dll 
01012BA4 — O000011BC Import Address Table RYA i 
01012BAB D0012COC Import Name Table RVA 
01012BAC . FFFFFFFF Time Date Stamp 
01012BB0 X FFFFFFFF Forwarder Chain 
01012BB4 00012FFC Name RVA ADVAPI32. dil | 
| 01012BBB 00001000 Import Address Table RYA 
01012BBC . D0012C2C Import Name Table RYA 
01012BC0 . FFFFFFFF Time Date Stamp 
| 01012BC4 — FFFFFFFF Forwarder Chain 
| 01012BC8 000131D4 Name RYA KERNEL32. dil | 
| 01012BCC_ 00001020 Import Address Table RVA Ag 
| 01012BDO 00012C1C Import Name Table RVA | 
| 01012BD4 . FFFFFFFF Time Date Stamp 
| 01012BD8 — FFFFFFFF Forwarder Chain 
| 01012BDC 00013200C Name RVA GDI32. dll | 
| 01012BE0 00001010 — Import Address Table RVA | 
01012BE4 00012CB0 Import Name Table RVA i 
U1012BEB . FFFFFFFF Time Date Stamp 
| 01012BEC FFFFFFFF Forwarder Chain 
DID12BFD 000136A4 Name RVA 


















图 32-18 ”calc.exe 进 程 的 IDT 


图 32-18 是 计算 器 进程 的 IMAGE IMPORT DESCRIPTOR X ( 数组 ), 它 在 PEView 中 名 为 IDT。 
我 们 要 查找 的 user32.dll 位 于 图 32-18 的 最 下 方 ， 接 下 来 使 用 for 循 环 遍历 该 IDT。 
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for( ; pImportDesc->Name; pImportDesc++ ) 


1 
// szLibName = VA to IMAGE IMPORT DESCRIPTOR.Name 


szLibName = (LPCSTR) ( (DWORD)hMod + pImportDesc-»Name); 
if( !stricmp(szLibName, szDllName) ) 
1 


在 上 面 的 for 循 环 中 比较 pImportDesc->Name 与 szDlIName(“user32.dll”)， 通 过 比较 查找 到 
user32.dl! 的 IMAGE IMPORT _DESCRIPTOR 结 构 体 地 址 。 最 终 pImportDesc 的 值 为 01012BE4 ( & 
考 图 32-18 )。 接 下 来 进入 user32 的 IAT。pImportDesc->FirstThunk 成 员 所 指 的 就 是 IAT。 


// pThunk = IMAGE IMPORT DESCRIPTOR.FirstThunk 
// = VA to IAT(Import Address Table) 
pThunk = (PIMAGE THUNK DATA) ((DWORD)hMod + 


pimportDesc-»FirstThunk); 
以 上 代码 中 ，pThunk 就 是 user32.dll 的 IAT (010010A4, 参考 图 32-18 ). 使 用 PEView 查 看 该 地 
址 ， 如 图 32-19 所 示 。 





010010A4 77DOBC10 Virtual Address 012C GetMenu 
D10010A8 77022697 Virtual Address 0252 SetDlaltemint 
010010AC 77CFA331 Virtual Address 017A GetWindowTextW 
01001080 — 77CFFF4A Virtual Address 0038 CheckDlgButton 
01001084 77CF817F Virtual Address 017F HideCaret 
010010B8 T7CF741F Virtual Address 001C CallWindowProcVv 
010010BC 77CF76C3 Virtual Address DOBF DrawTextW 
010010CO 77D1B765 Virtual Address 02D3 WinHelp 
010010C4 77CFB816 Virtual Address 0201 PostQuitMessage 
010010C8 77CF6450 Virtual Address 0110 GetDIgCtrIID 
010010CC 77CF81CD Virtual Address 0231 ScreenToClient 
01001000 77D20FEF Virtual Address 003C ChildWindowFromPoint 
01001004 77CF5A4D Virtual Address DOBF DefWindowProcw 
01001008 77D0D209 Virtual Address 019F IsClipboardFormatAvailš 
010010DC 77CFC1B3 Virtual Address 00C2 EnableMenultem 
010010E0 77D26326 Virtual Address 02A5 TrackPopupMenuEx 
010010E4 — 77CF7E92 Virtual Address 010E GetDesktopWindow 
010010E8 77DOE310 Virtual Address O1F3 OpenClipboard 
010010EC 77D0E38C Virtual Address 0101 GetCliphoardData 
010010F0 77CF72EC Virtual Address 002A CharNextA 
010010F4 77D0E303 Virtual Address 0042 CloseClipboard 
D10010F8 77CF432A Virtual Address 015A GetSysColor 
010010FC 77D029CE Virtual Address DO9F DialogBoxParamVv 
01001100 — 77CFF5CB Virtual Address D0C6 EndDialog 
01001104 77DOEAEB Virtual Address D1DB MessageBeep 
01001108 . 77CFCOCB Virtual Address 0159 GetSubMenu 


O100110C — 77D1511C Virtual Address 0038 CheckRadioButton 
1001 11U £f vd 


UU 4 
001118 













8 : (256 
77CF630D Virtual Address 024D SetCursor 


图 32-19 ”calc.exe 进 程 的 [AT 


可 以 看 到 ，user32.dll 的 IAT 中 导入 了 相当 多 的 函数 。 我 们 要 查找 的 SetWindowTextW 位 于 
01001110 地 址 处 ， 其 值 为 77CF61C9。 


// pThunk->ul.Function = VA to API 
for( ; pThunk->ul.Function; pThunk++ ) 


t 


Ü 
01 





if( pThunk-»ul.Function == (DWORD)pfnOrg ) 
I 


在 上 面 的 for 循 环 中 比较 pThunk->ul.Function 与 pfnOrg ( 77CF61C9 SetWindowTextW 的 起 始 地 
H: )， 准 确 查找 到 SetWindowTextW 的 IAT 地 址 ( 01001110 ) ( 当前 pThunk=01001110， 
pThunk->ul.Function=77CF61C9 )。 
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上 述 代 码 就 是 从 计算 器 进程 的 ImageBase 开 始 查 找 user32.SetWindowTextW 的 IAT 地 址 的 整个 
过 程 。 

ge —————M————— (M == =—— 
若 不 怎么 理解 上 述 代码 ,请 参考 第 13 章 中 有 关 IAT 的 部 分 ,使 用 PEView 逐一 查找 。 





查找 到 IAT 地 址 后 ， 接 下 来 就 要 修改 (hooking ) 它 的 值 。 


// 修 改 IAT 值 
pThunk->ul.Function = (DWORD)pfnNew; 


pThunk->ul.Function 中 ， 原 来 的 值 为 77CF61C9 ( SetWindowTextW 地 址 )， 上 面 语句 将 其 修改 
为 pfnNew 值 ( 10001000 hookiat.MySetWindowTextW 的 地 址 )。 这 样 ， 计 算 器 代码 调用 
user32.SetWindowTextW() API 时 ， 实 际会 先 调用 hookiatMySetWindowTextW0O 函 数 。 

]ey—  —————— MC ECCE 
从 上 述 hook iat) LARA P 9D YA E 2] , 4435 8p 238) 1 VirtualProtect() 63. 4 
相应 IAT 的 内 存 区 域 更 改 为 “可 读 写 ”模式 ， 钩 取 之 后 重新 返回 原 模式 的 代码 是 存在 
的 。 该 语句 用 来 改变 内 存 属 性 ， 由 于 计算 器 进程 的 IAT 内 存 区 域 是 只 读 的 ， 所 以 需要 
使 用 该 语句 将 其 更 改 为 “可 读 写 ”模式 。 


对 hook iat.cpp 代 码 的 分 析 到 此 结束 。 如 果 理 解 了 IAT 钧 取 的 内 部 工作 原理 ， 再 阅读 
hook_iat.cpp 代 码 时 就 会 感到 很 容易 ， 理 解 起 来 也 不 会 有 什么 难度 。 


32.6 ”调试 被 注入 的 DLL 文件 


本 节 将 使 用 OllyDbg 调 试 钓 取 代码 , 并 查看 被 钓 取 的 IAT 内 存 区 域 。 此 外 还 要 学 习 如 何 调 试 注 
人 进程 的 DLL 文 件 。 我 们 要 调试 的 是 hookiat.dll 文 件 ， 它 被 注 人 计算 器 (calc.exe ) 进程 。 首 先 运 
行 计算 器 程序 ， 然 后 用 Process Explorer 查 看 计算 器 进程 的 PID 值 ， 如 图 32-20 所 示 。 


$; Process Explorer - Sysinternals: www.... [fe |x; 
File Options View Process Find DLL Users Help 


r Description a Í Comp: 
Windows Compatibility DLL Microsoft Corp 
Advanced Windows 32 Base ,,, Microsoft Corpo 
Windows Calculator applicati, Microsoft Corpo 
User Experience Controls Lib,,, Microsoft Corpo 


GDI Client DLL Microsoft Corpo. 
Microsoft Korean IME 2002 Microsoft Corpo 





[432-20 ”calc.exe 进 程 的 PID 
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接 下 来 将 calc.exe 进 程 附加 到 OllyDbg， 如 图 32-21 所 示 。 





Cid ee sten32^suchost. exe 
\System32\such 
$n: 


"e | 
analysis*procesp.exe 
MINOONS*EWpLorer.EXE 

L C: SUINDONSssustem32*spoolsu.ese 








图 32-21 OllyDbg 附 加 
En aee 
我 们 使 用 的 是 OllyDbg 2.0 版 本， 用 OllyDbg 1.10 调试 被 注入 的 DLL 会 遇 到 一 些 
Bug， 寻 致 调试 进程 意外 终止 。 








附加 成 功 后 ， 按 F9 运 行 键 运行 calc.exe 进 程 。 然 后 设置 OllyDbg 选 项 ， 如 图 32-22 所 示 。 这 样 ， 
注入 DLL 文件 (hookiat.dll ) 时 ， 控 制 权 就 会 转 给 调试 器 。 


Options 
Debugging events 


区 Wam on frequent events 


[^ Pause on new thread 
T^ Pause on thread end 
T^ Pause on debug string 


T^ Debug child processes [experimental] 


WARNING: debugging of child possible only 
Polars when Debuggee war Sene Dog ndr 
Code highlighting Cepu chia procer wat acie 
Miscellaneous 





图 32-22” 复 选 Pause on new module (DLL ) 选项 


如 图 32-22 所 示 ， 在 OllyDbg 的 Options 窗 口中 复 选 Pause on new module (DLL ) 选项 后 ， 每 当 
有 DLL 加 载 〈 含 注入 ) 到 被 调试 进程 时 ， 控 制 权 就 会 转移 给 调试 器 。 设 置 好 选项 后 ， 在 OllyDbg 
中 按 F9 运 行 键 正常 运行 计算 器 进程 。 在 命令 行 窗口 中 输入 相应 参数 ， 运 行 InjectDll.exe， 将 
hookiat.dll 注 人 计算 器 进程 ( 参考 图 32-23 )。 


E € C:WWINDOWSWsystem32Wcmd.e exe 





É]32-23 E hookiat.dll 
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calc.exe 进 程 中 发 生 DLL 加 载 事 件 时 , 相关 事件 就 会 被 通知 到 OllyDbg， 如 图 32-22 所 示 设 置 好 
选项 后 ， 调 试 器 就 会 在 hookiat.dll 的 EP 处 暂停 下 来 ， 如 图 32-24 所 示 。 


E33 To Us SEM 

55 PUSH EBP 

SBEC MOU EBP, ESP 

837D BC 81 CHP DWORD PTR "p [EB OCIS 1 
JNE SHORT 1900812 


CRLL 1 

PUSH DWORD PTR_SS: [EBP+8] 
SB4D 18 MOU ECX,DWORD PTR SS:[EBP+101] 
SB55 @C MOV EDX,DUORD PTR SS: [EBP+6C] 
ES ECFEFFFF CALL 168012F6 


ES B61908008 
FF7S 88 





16601466 eB acea 
[32-24 ”hookiat.dll 的 EP 代码 
. 2 E — D ———— íi ——Ó— € SC (—— 
有 DLL 被 加 载 时 ,调试 器 会 自动 暂停 在 被 加 载 的 DLL 的 EP 处 , 这 是 OllyDbg 2.0 
中 提供 的 功能 。 若 使 用 的 是 OllyDbg 1.1, 调试 器 会 在 非 EP 的 其 他 代码 位 置 处 (ntdll.dll 
区 域 ) 暂停 。 


接 下 来 ,取消 图 32-22 中 复 选 的 Pause on new module (DLL ) 选项 ， 查 找 DIIMain0) 代 码 。 

在 调试 器 中 查找 hookiat.dll 的 DIIMain() 也 数 最 简单 的 方法 是 ， 检 索 DIIMain() 中 使 用 的 字符 串 
或 API ( 当然 也 可 以 使 用 StepIn(F7) 命 令 逐 行 跟踪 查找 )。 参 考 代 码 32-1 可 知 ，DI1IMain() 函 数 中 使 
用 的 字符 串 有 “user32.dll” 与 “SetWindowTextW”。 下 面 通过 查找 代码 中 使 用 的 “user32.dl1” 与 
“SetWindowTextW” 字 符 串 来 查找 DIIMain0 函 数 。 在 OllyDbg 的 代码 窗口 中 选择 鼠标 右键 菜单 
Search for All referenced strings 选 项 ， 如 图 32-25 所 示 。 


GED10C4| PUSH 00092B( 

: "t ca DRTCODE "er 
1960190F PUSH OFFSET 10068146 RSCII "EncodePointer" 
15961S6F| MOU ESI,OFFSET 10008158 UNICODE "KERNELS2.DLL' 
1000138A| PUSH OFFSET 18008174 ASCII "DecodePointer' 
1808192E|MOU ESI, OFFSET 18888158 UNICODE "KERNELS2.DLL'" 
1a68195C|PUSH OFFSET 18008148 ASCII "EncodePointer' 
18651978|PUSH OFFSET 10008174 ASCII "DecodePointer' 








图 32-25 ”查找 字符 串 


从 图 32-25 可 知 , “user32.dl1 ”字符 串 有 2 处 , “SetWindowTextW” 字 符 串 有 1 处 。 转 到 引用 
“SetWindowTextW” 字 符 串 的 代码 地 址 1000113E 处 ， 如 图 32-26 所 示 。 


i1688112E| CC INTS 


1000112F| CC INI 

19001130| 884424 08 MOU EAX, DWORD PTR SS:LESP+8J 
10001194| 83E8 80 SUB ERX,G 

19001137|. 74 37 JE SHORT 10001170 

10901139 83E8 01 SUB EAX, 1 


1008113C|. 75 45 JNE SHORT 108081123 


PUSH OFFSET 10009204 : UNICODE "userS2.dli" P 
CALL DWORD PTR DS:[L<&KERNEL32.GetHodu LeHandLell»3 





mer EE PTO 
199611SR| se PUSH ERX 

1800115B| A3 BBB69919 。 | MOU DWORD PTR DS:L1000B6881,ERX 
10091160| E8 2BFFFFFF |EñLL 18001090 

19991165| 83C4 08 ADD ESP, 8 

10001169| B8 01000000 |MOV EAX, 1 

10901160| c2 ecoo R 











图 32-26 ”DIIMain0 代 码 
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图 32-26 黑 色 线 框 中 的 反 汇 编 代 码 与 代码 32-1 中 的 C 语 言 代码 是 一 致 的 。 因 此 该 部 分 
(10001130- ) 就 是 DIMain0 函 数 (DIIMain0 函 数 的 起 始 地 址 为 10001130 )。 
这 就 是 调试 注 人 进程 的 DLL 的 方法 。 


32.6.1 DIIMain() 


下 面 从 DIIMain() 函 数 起 始 位 置 开始 调试 ( 与 代码 32-1 比 较 查 看 ， 理 解 起 来 会 更 容易 )。 继 续 
调试 DIIMain0， 出 现 如 图 32-27 所 示 的 代码 。 











igge:ice| 884424 98 [MOU ERX,DUORD PTR SS:[ESP*61 [Dtinñain() 
i0o01134| sses 68 | sue ERx.8 
ees 1137? 74 37 JE T 108001170 

1139| 83E8 01 [sus Ea 
100811 3C|. 75 45 JNE pide 10001183 
1800:13E| 68 24920010 。 | PUSH OFFSET 10009294 ASCII "SetlindowTent'" 
16001143| 68 84329919  |PUSH OFFSET 10009204 UNICODE "userS2.dll'* 
ieaeii49| FF15 99999919 |CRLL DWORD PTA DSIC«SKERNELG2. Gethodu LeHand [eli] | Get nodu LeHand Leur) 
|ienoiT4E| se Í PUSH ERX 
1002114F| FF1S 4800010 |CRLL DUORO PTR DS:[X&KERMELS2.GetProcnddress?]  |Get 
icoi1ss| 69 geimoolQ PUSH 10001800 - hook lat. 'ljSetM ndovTexti 
igeeiicR| se | PUSH EAX ~ user32.SetWindowTextW 
19001156] R3 BEB6gel9 — | MOU DWORD PTR DS:L100086B92,ERX [10008668] = q_pOrgFunc 
a r Want ruk E 
10061165] 88C4 08 RDD ESP, 8 
10921168| B8 81080000 |MOU EAX, 1 
ieaeiieD| C2 9c89 RETN @C 





3 T E OM NNNM 





图 32-27 ”调用 hook iat PRX 


地 址 10001160 处 的 CALL 10001090 命 令 就 是 调用 hook iatO 函 数 的 部 分 。 由 于 函数 参数 逆序 存 
储 在 栈 中 ， 所 以 各 参数 含义 与 注释 的 描述 一 样 〈 请 比较 代码 32-1 与 图 32-27 )。 需 要 注意 的 是 ， 在 
代码 32-1 中 可 以 看 到 hook_iat0 函 数 有 3 个 参数 ， 而 图 32-27 中 的 hook_iat0) 的 参数 只 有 2 个 ( 从 栈 窗 
口中 可 以 清楚 地 看 到 这 一 点 )。 仔 细 查 看 可 以 发 现 ，hook iat0 的 第 一 个 参数 “user32.dll]” 字 符 串 
的 地 址 被 省 略 了 。 这 是 VC++ 编 辑 器 进行 代码 优化 的 结果 ,字符 串 的 地 址 (4 字 节 常数 ) 并 未 作为 
函数 参数 传人 , 而 被 硬 编码 到 hook_iat0 函 数 中 。 大 家 以 后 调试 自己 编写 的 程序 时 , 会 经 常 遇 到 上 
述 代 码 优 化 现象 。 


32.6.2 hook iat() 


hook iat0 是 具体 负责 实施 IAT 钩 取 的 核心 函数 ， 下 面 开 始 调试 它 。 
查找 IMAGE_IMPORT_DESCRIPTION 


R : 
LER EBX [EAX+@C] 
v| JE SHORT 100010F4 
` E 1aca 


090012E42) 
1012E42) 





图 32-28 ”查找 IMAGE IMPORT _DESCRIPTION 


图 32-28 灰 色 部 分 代码 描述 了 从 PE 文件 头 中 查找 IMAGE IMPORT DESCRIPTION Table (下 
称 “ID Table" ) 的 过 程 (在 PEView 中 可 以 看 到 多 个 ID 一 起 组 成 了 IDT )。 以 上 代码 (100010A1- 
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10010AD ) 仅 用 4 条 汇编 指令 就 找到 了 ID Table。 
apea 
如 果 你 尚未 掌握 PE 文件 头 的 结构 , 或 初次 接触 上 面 这 样 的 汇编 代码 ,那么 很 可 能 
不 理解 代码 内 容 。 此 时 可 以 同时 打开 PEView， 边 参考 PE 文件 结构 边 调试 。 其 实 这 不 
是 什么 困难 的 事情 ， 看 多 了 自然 就 明白 了 。 等 以 后 熟悉 了 ， 只 要 看 到 [EDI+3C]、 
[EDI+EAX+80] 等 代码 ， 也 能 轻松 知道 它们 是 用 来 跟踪 IID Table 的 代码 。 








地 址 10010CA 处 的 CALL 100075CA 指 令 用 于 调用 stricmp0) 函 数 。 通 过 遍历 IID Table Hk $X 
IID.Name 与 “user32.dll” 字 符 串 ， 最 终 查 找到 user32.dl1 对 应 的 IID。 

在 IAT 中 查找 SetWindowTextW API 的 位 置 

查找 到 user32.dll 对 应 的 ID 后 , 下 面 的 代码 用 来 在 IAT 中 查找 SetWindowTextW API 的 位 置 ( 参 
考 图 32-29 )。 然 后 修改 其 中 的 内 容 ， 从 而 实现 对 API 的 钓 取 。 


1@09019D6| 8673 B4 MOV ESI, DWORD PTR DS:tEBX*41 ESI = RUR of IAT (0000516n41 
18001009 T ADD ESI,EDI ESI = UR of IAT (a18018845 
16081008 3986 CMP DWORD PTR DS:LESIJ,ERX [ESI] = API address, EAX = ® 
JE SHORT i88818EC 

















D0960E (LUSERS2.Sgwf tndowTen th) 











BBCFFSS4 
eacFFS44| 18895006 
89CFF848| 7C9470E9| RETURN from n 
BOCFFS4C| 10601165| RETURN from h 
@ƏCFF85S0| ?7?DOSEGE| USER32. Setijin 
10081000 
10603125C] RETURN From h 
C| 10600000 
O0990001 







BaCFF364| S0806008 
@ƏCFF963| 5818R68B 
UacFFSec, 59896G91 
BOCFF878| Q8CFF3ƏB4 
BOCFFS?4| 10B813E5|hcokiat.4Modu 
0090960091 
BOCFFSES 
8809090001 
BaCFF8S4| QƏCFF9B8|Pointer to ne 
@ƏCFF899 | 19092C20|SE handler 

@0CFFS8C| ?RDFCDBF 
gacFFS9a| üaaagoaoao 
BOCFFS94| GacFFesRa 
BOCFFS9sS| 10601404| RETURN from h 
@ƏCFFS9C| 10020000A 
eacrrone| escrrsce 
UBCFFSR4| 7C93118R| RETURN to ntd 
BGCFFSAS| iG8baGaoo 
BOCFFSRC| 868689861 









user32.dll IAT 















图 32-29 IAT 


100010E0 地 址 处 的 CMP DWORD PTR DS:[ESI],EBP 指 令 中 ，ESI 的 值 为 user32.dll 的 IAT 起 始 
地 址 ( 010010A4 )，EBP 的 值 为 SetWindowTextW 的 地 址 ( 77D0960E )。 图 32-29 的 代码 运行 循环 进 
和 人 IAT， 查 找 位 于 01001110 的 SetWindowTextW 的 地 址 值 (77D0960E )。 

提示 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
OllyDbg 中 ,将 Memory Window ( 图 32-29 粗 线 框 部 分 ) 的 视图 更 改 为 Integer Address 
后 ， 内 存 将 以 [Address & API Name] 形 式 呈 现 出 来 ， 如 图 32-29 所 示 。 
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IAT$4RX 
Fd32-30 EKER EJ ULT RE URB. 
[18081186| 51 PUSH ECX 
i8001107| 6A 46 PUSH 40 
18001199| 6A 84 PUSH 4 
18001108) 56 PUSH ESI ESI = 01001110 
10009118C] FFD7 CRLL EDI UirtualProtect() 
iGGG118E| SB5424 1C MOU EDX,DWORD PTR SS:LESP+1CJ | EDX = MySetWindouwTestli (10001000) 
i8mei112| 804424 18 LER EAX, LESP*181 














18001116] S68 PUSH ERX 


10600111D 
10900111E] 6A 04 PUSH 4 
18001120| 56 

10991121| FFD7 
igmaii23| SF 
10001124) SE 
10001125) 5D 
18001126 
1996112B| 5B 
1000112C| 59 
|18001120 


UirtualProtect() 











BacFFSSC 
DOCFFE48 
BOCFFE44 


memmeanl aaa 


61001114| 77D6B1 12 USER32.SetFoous 
0108081118] ?7D89938| USERS2. SetCursor 
8188111C| 7?7DGEIBB| USERS2. CharNes tl 





















É32-30 IATËJHX 


10001117 4b Ht 4b fj MOV DWORD PTR DS:P[ESI],EDX f& S JH 3E H MySetWindowTextW 
( hooking Ki% ) 的 地 址 覆 写 到 前 面 从 IAT 中 获取 的 SetWindowTextW 的 地 址 (01001110 )。 地 址 
01001110 在 calc.exe 进 程 中 位 于 user32.dll 的 LAT 区 域 ， 该 地 址 原来 存储 着 SetWindowTextW 地 址 
( 77D0960E ) ( 参考 图 32-29 )。 

执行 10001117 地 址 处 的 MOV 指 令 后 ，user32.SetWindowTextW 地 址 ( 77D0960E ) 被 更 改 为 
hookiat.MySetWindowTextW 地 址 ( 10001000 ) (参考 图 32-30 )。 从 现在 开始 , calc.exe 进 程 代码 ( 通 
过 IAT ) 调用 user32.SetWindowTextW() API 时 ， 实 际 调用 的 是 hookiat.MySetWindowTextW()。 


32.6.3 MySetWindowTextW() 


完成 IAT 钓 取 操 作 后 ， 在 OllyDbg 中 按 F9 键 正常 运行 计算 器 (calc.exe ) 进程 。 

TE calc.exe 进程 中 调用 user32.SetWindowTextW() API 的 代码 处 设置 断 点 ， 调试 
hookiat.MySetWindowTextW0O 函 数 被 调用 的 情形 。 首 先 在 调用 user32.SetWindowTextW() API 的 代 
码 处 设置 断 点 。 使 用 OllyDbg 的 Search for All intermodular calls 功 能 , 打开 如 图 32-31 所 示 的 对 话 框 。 


E Intermodular calls in module 'calc' 


CALI MP.&msucrt.??1tupe- EGUREEXZ > 7 Det. T? e 
ALL €JMP.&msucrt.??38VRXPRXG? > TYBDSCDD| rsuczt. ??39VRXPRXGZ 





图 32-31 Search for All intermodular calls 对 话 框 
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calc.exe 进 程 中 调用 user32.SetWindowTextW() API 的 位 置 共 有 2 处 ,将 它们 全 部 设置 上 断 点 ( 其 
实 ，01002628 地 址 处 的 指令 才 是 我 们 要 查找 的 位 置 )。 然 后 在 计算 器 中 输入 数字 “1”， 调 试 器 暂 
停 在 01002628 地 址 的 断 点 处 (上 面 刚 刚 设置 的 断 点 ) ( 参考 图 32-32 )。 


PUSH DWORD PTR SS: [ARG,.2] 
MOU ESI,ERX 

CALL DUORD PTR DS:[10010741 
PUSH DWORD PTR SS: [ARG.2] 





















e1easeis||- FF7424 19 
` BEFD 
» FF15 74188801 








jn => ERRG.2J 


KERHELS32. Letr Lenul 


+ FF7424 18 Test => [ARG.2] 


. 8EFS 
7||* 56 








ATAN 4 DAET ÜSERSZ.SetFocus 
91801119| ?77089938| USERS2. SetCursor 
59168111C| ?7D8B1B8| USER32. Ch arNexst li 


图 32-32 ”调用 MySetWindowTextW() 





地 址 01001110 中 原来 保存 的 是 user32.SetWindowText WO 的 地 址 (77D0960E )， 钩 取 后 ， 存 储 
的 地 址 变 为 hookiat.MySetWindowText WO 的 地 址 ( 10001000 )， 如 图 32-32 所 示 。 进 入 
MySetWindowTextW( 函 数 继续 调试 ， 出 现 图 32-33 所 示 的 代码 。 


10001078] 57 PUSH EDI 
10800107C] 52 PUSH EDX 
18881838| SF POP EDI 
10001094| SE POP ESI 





SA 


Eee ooocoios | hind = 0@0C0196 (class='Ec 





B687F378| 7C C? 2E 00| 20 880 88 QO | 21. . 


图 32-33 ”调用 user32.SetWindowTextW() 


MySetWindowTextW() 函 数 主要 有 2 个 功能 , 它 首先 将 阿拉 伯 数 字 转 换 为 中 文 数字 (字符 串 )， 
然后 调用 原来 的 user32.SetWindowTextW() API 。1000107D 地 址 处 的 CALL DWORD PTR 
DS:[1000B6B8] 指 令 就 是 用 来 调用 user32.SetWindowTextW() API 的 。1000B6B8 地 址 是 hookiat.dll 
中 .data 节 区 的 全 局 变量 ( g pOrgFunc )，DI1IMain() 函 数 会 事先 将 SetWindowTextW 的 地 址 存 人 此 处 
(参考 代码 32-1、 图 32-7 )。 至 此 ， 对 注 人 calc.exe 进 程 的 hookiat.dll 的 调试 就 全 部 结束 了 o 


327 小结 


IAT£JBUE APIZJIBUSCRZL— , 本 章 详细 讲解 了 该 技术 的 内 部 工作 原理 , 并 通过 DLL 注入 技术 
将 hookiat.dll 注 入 目标 进程 ， 由 此 进行 API 钩 取 调 斌 练习。 理解 了 这 些 工作 原理 与 相关 概念 后 ,就 
可 以 继续 下 一 章 的 学 习 。 


第 33 章 ”隐藏 进程 


本 章 将 讲解 通过 修改 API 代 码 (Code Patch ) 实现 API 钧 取 的 技术 ,还 要 讲 一 下 有 关 全 局 钧 取 
(Global hooking) 的 内 容 ， 它 能 钓 取 所 有 进程 。 此 外 ， 还 讲解 使 用 上 述 方法 隐藏 ( Stealth ) 特定 


进程 的 技术 ， 并 通过 练习 示例 帮助 大 家 理解 掌握 。 
提示 
隐藏 进程 (stealth process ) 在 代码 遂 向 分 析 领 域 中 的 专业 术语 为 Rootkit， 它 是 指 


通过 修改 (hooking) 系统 内 核 来 隐藏 进程 、 文 件 、 注 册 表 等 的 一 种 技术 。Rootkit 的 相 
关内 容 不 在 本 章 讲解 范围 内 ， 为 便于 理解 ， 本 书 中 将 统一 使 用 “隐藏 进程 ”这 一 名 称 。 





33.4 技术 图 表 


正式 学 习 前 ， 先 看 一 下 图 33-1 的 技术 图 表 。 


3 对 象 位 置 技术 


DebugActiveProcess Š 
Fiet GetThreadContext 
SetThreadContext 





CreateRemoteThread 


00000000 i 
7FFFFFFF Registry(Applnit DLLs) 
BHO (IE only) 


me een 
me een 





图 33-1 技术 图 表 


技术 图 表 标 有 下 划 线 的 部 分 表示 的 就 是 API 代 码 修改 技术 。 库 文件 被 加 载 到 进程 内 存 后 ， 在 
其 目录 映像 中 直接 修改 要 钧 取 的 API 代 码 本 身 ， 这 就 是 所 谓 的 API 代 码 修改 技术 。 该 技术 广泛 应 


用 于 API 钩 取 ， 因 为 可 以 用 它 钧 取 大 部 分 API， 使 用 起 来 非常 灵活 。 
提示 
前 面 我 们 讲 过 IAT 钓 取 技术 ， 如 果 要 钓 取 的 API 不 在 进程 的 IAT 中 ， 那 么 就 无 法 
使 用 该 技术 。 反 之 ,，“API 代 码 修改 ”技术 没有 这 一 限制 。 


另外 ， 为 了 灵活 使 用 目标 进程 的 内 存 空 间 ， 我 使 用 了 DLL 注 和 人 技术。 


33.2 API 代码 修改 技术 的 原理 
本 节 将 具体 讲解 使 用 API 代 码 修改 技术 钧 取 API 的 工作 原理 。 与 前 一 章 学 过 的 TAT 钧 取 技术 相 
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比 ，API 代 码 修 改 技 术 更 易 理 解 。IAT 钓 取 通 过 操作 进程 的 特定 IAT 值 来 实现 API 钓 取 ， 而 API 代 码 
修改 技术 则 将 API 代 码 的 前 5 个 字 节 修改 为 JMP XXXXXXXX 指 令 来 钧 取 API。 调 用 执行 被 钓 取 的 
API 时 ，( 修改 后 的 ) JMPXXXXXXXX 指 令 就 会 被 执行 ， 转 而 控制 hooking 函 数 。 后 面 图 33-3 描 述 
的 是 ， 向 Process Explorer 进 程 ( procexp.exe ) 注入 stealth.dll X f/F Jc; £4 HZ ntdll.ZwQuery- 
SystemInformation() API 的 整个 过 程 ( ntdll.ZwQuerySystemInformation() API 是 为 了 隐藏 进程 而 需要 


钩 取 的 API )。 


33.2.1 钩 取 之 前 
首先 看 一 下 钩 取 之 前 正常 调用 API 的 进程 内 存 。 图 33-2 描 述 的 是 〈 钩 取 之 前 ) 正常 调用 API 
的 情形 。 
<procexp.exe 进 程 : 钧 取 之 前 > 









































“procexp.exe” 
TT D. 
GD) |] 00422CF7 FF159CC64800 CALL DWORD PTR DS:148C69C] - 
aprocexp.exeBSIATIX li u e 
0048C69C `, 2ED9937C JOE SS T 
` ;ntdltzwQuerysysteminformation0) 
“ntdll.dll” 
Sara ae iex prone ie eii iod 
7C93D92bE  :B8AD000000 MOV EAX, OAD ` 
7C93D933 1 BA OQOJEEZE MOV EDX, 7FFE0300 
7C93D938 » FF12 CALL DWORD PTR DS:[EDX] 
7C93D93A 5e 1000 RETN 10 





FJ33-2 钓 取 之 前 正常 调用 API 


procexp.exe 代 码 调用 ntdll.ZwQuerySystemInformation() API 时 ， 程 序 执行 流 顺序 如 下 。 

(D procexp.exe 的 00422CF7 地址 处 的 CALL DWORD PTR DS:[48C69C] 指令 调用 
ntdll.ZwQuerySystemInformation() API ( 48C69C 地 址 在 进程 的 IAT 区 域 中 ， 其 值 为 7C93D92E， 它 
J&ntdll.ZwQuerySystemInformation() API 的 起 始 地 址 )。 


© 相应 API 执 行 完毕 后 ， 返 回 到 调用 代码 的 下 一 条 指令 的 地 址 处 。 


33.22 RZE 


下 面 看 看 钓 取 指定 API 后 程序 执行 的 过 程 。 先 把 stealth.dll 注 入 目标 进程 ( procexp.exe )， 直 接 
修改 ntdll.ZwQuerySystemInformation() API 的 代码 ( Code Patch )， 如 图 33-3 所 示 。 
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“procexp.exe” 
| ;procexp.exeB gf 83 E Et 


00422CF7 FF15 9CC64800 CALL DWORD PTR R DS1466C69C] 











> 
sprocexp.exegolA Tt 


0048c69C 3ED9937C —— 37C93D92E 3 
z(ntdllZwQuerySysteminformation() 






` 
` 
` 









*stealth.dll" — infected DLL 


"stealth. myZOSiD& sare sg oo 
10001 81EC 0C010000 SUB ESP,1 


1000116A ^. | CALLunhook) s> 















ME 





asta MOV EAX, 0AD 

















30001198 FFDO Y v CALEAX EAX C9309 
| » / — proceso DUE — 
10001212 ^ | CALLhook) — = |7c93D92E JPM 10001120 | 





E9 ED376C93 





10001233 4 vut Ç 






“ntdll.dll” 








LZwQuerySysteminformation() codes2 3 ft 53 
| 7C93D92E *. ED ED376C93 JMP 10001120 vo ML 
E 309338 , BA0003FE7F MOV EDX, 7FFE0300 
-2C93D938 ,"FF12 CALL DWORD PTR DS:EDX] - 
7C93D93A A C2 1000 RETN 10 






















图 33-3 ” 钩 取 之 后 调用 执行 API 的 流程 


图 33-3 看 上 去 相当 复杂 ， 下 面 逐 一 分 析 说 明 。 

首先 把 stealth.dll 注 入 目标 进程 ， 钩 取 ntdllL.ZwQuerySystemInformation0) API; ntdll.ZwQuery- 
SystemInformation() API 起 始 地 址 (7C93D92E ) 的 5 个 字 节 代码 被 修改 为 JMP 10001120 ( 仅 修改 5 
个 字 节 代码 )。 10001120 是 stealth.MyZwQuerySystemInformation() 函 数 的 地 址 。 此 时 , 在 procexp.exe 
代码 中 调用 ntdll.ZwQuerySystemInformation() API， 程 序 将 按 如 下 顺序 执行 。 

Qa 在 422CF7 地 址 处 调用 ntdll.ZwQuerySystemInformation() API ( 7C93D92E )。 

@ 位 于 7C93D92E 地 址 处 的 ( 修改 后 的 ) JMP 10001120 指 令 将 执行 流转 到 10001120 地 址 处 
(hookingPA2X )。1000116A 地 址 处 的 CALL unhook0 指 令 用 来 将 ntdll.ZwQuerySystemInformation() 
API 的 起 始 5 个 字 节 恢复 原 值 。 

@ 位 于 1000119B 地 址 处 的 CALL EAX(7C93D92E) 指令 将 调用 原来 的 函数 ( ntdll.ZwQuery- 
SystemInformation() API ) ( H JBI Ill Z “J”, AAR LL E jJ )。 

(4) ntdll.ZwQuerySystemInformation() 执 行 完毕 后 , 由 7C93D93A 地 址 处 的 RETN 10 指 令 返 回 到 
stealth.dll 代 码 区 域 (调用 自身 的 位 置 )。 然 后 10001212 地 址 处 的 CALL hook0 指 令 再 次 钧 取 
ntdll.ZwQuerySystemInformation() API ( 即将 开始 的 5 字 节 修改 为 JMP 10001120 指 令 )。 

@ stealth.MyZwQuerySystemInformation0 函 数 执行 完毕 后 ， 由 10001233 地 址 处 的 RETN 10 命 
令 返 回 到 procexp.exe 进 程 的 代码 区 域 ， 继 续 执 行 

上 述 过 程 刚 开始 看 似 很 难 ， 多 看 几 遍 ， 慢 慢 就 会 明白 的 。 

使 用 API 代 码 修改 技术 的 好 处 是 可 以 钧 取 进 程 中 使 用 的 任意 API。 前 面 讲 过 的 IAT 钩 取 技 术 仅 
适用 于 可 钧 取 的 API， 而 API 代 码 修改 技术 无 此 限制 ，( 虽然 代码 会 更 复杂 一 些 ) 使 用 起 来 要 自由 
得 多 。 使 用 API 代 码 修改 技术 的 唯一 限制 是 ， 要 钩 取 的 API 代 码 长 度 要 大 于 5 个 字 节 ， 但 是 由 于 所 
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有 API 代 码 长 度 都 大 于 5 个 字 节 ， 所 以 事实 上 这 个 限制 是 不 存在 的 。 

注意 一 一 
顾名思义 ，API 代码 修 改 就 是 指 直接 修改 映射 到 目标 进程 内 存 空间 的 系统 DLL 的 
代码 。 进 程 的 其 他 线程 正在 读 (read) 某 个 函数 时 ， 尝 试 修 改 其 代码 会 怎么 样 呢 ? iX 
做 会 引发 非法 访问 (Access Violation ) 异常 (后面 会 讲解 该 问题 的 解决 方法 )。 





接 下 来 继续 讲解 进程 隐藏 的 工作 原理 。 


33.3 ”进程 隐藏 

进程 隐藏 的 相关 内 容 信息 已 经 得 到 大 量 公 开 ， 其 中 用 户 模 式 下 最 常用 的 是 ntdll.ZwQuery- 
SystemInformation() API 钧 取 技术 ， 下 面 对 其 进行 讲解 。 
33.3.1 进程 隐藏 工作 原理 


隐形 战机 是 为 了 防止 雷达 探测 追踪 而 运用 各 种 先进 科学 技术 研制 的 全 新 战机 ( 与 现 有 战斗 机 
完全 不 同 )。 隐形 战斗 机 的 隐形 对 象 就 是 其 本 身 。" 而 隐形 进程 的 概念 与 此 恰好 相反 。 为 了 隐藏 某 
个 特定 进程 ， 要 潜 人 其 他 所 有 进程 内 存 ， 钩 取 相 关 API。 也 就 是 说 ， 实 现 进程 隐藏 的 关键 不 是 进 
程 自身 ， 而 是 其 他 进程 。 仍 以 战斗 机 为 例子 ， 实 现 进程 隐藏 的 工作 原理 大 致 如 下 : 


普通 战斗 机 起 飞升 空 后 ， 通 过 某 种 方法 使 追踪 雷达 发 生 故 障 (人 为 操作 、 破 坏 )， 
这 样 雷达 就 无 法 正常 工作 ， 普 通 战斗 机 就 变 为 隐形 战机 。 


虽然 例子 举 得 有 些 牵强 ， 但 描述 的 工作 原理 与 隐藏 进程 是 完全 一 样 的 。 





33.3.2 ”相关 API 


由 于 进程 是 内 核对 象 ， 所 以 〈 用 户 模 式 下 的 程序 ) 只 要 通过 相关 API 就 能 检测 到 它们 。 用 户 
模式 下 检测 进程 的 相关 API 通 常 分 为 如 下 2 类 ( 出 处 : MSDN )。 
1. CreateToolhelp32Snapshot() & EnumProcess() 


HANDLE WINAPI CreateToolhelp32Snapshot( 
DWORD dwFlags, 
DWORD th32ProcessID 
); 
BOOL EnumProcesses( 
DWORD* pProcessIds, 
DWORD cb, 
DWORD* . pBytesReturned 


上 面 2 个 API 均 在 其 内 部 调用 了 ntdll.ZwQuerySystemInformation() API。 
2. ZwQuerySystemlnformation() 


NTSTATUS ZwQuerySystemInformation( 
SYSTEM INFORMATION CLASS SystemInformationClass, 





CD 隐形 战斗 机 机 身 涂 有 高 效 吸 收 雷达 波 的 物质 ,造成 雷达 无 法 追踪 。 隐 形 战机 实现 隐形 的 关键 是 依靠 对 自身 的 处 理 
来 屏蔽 无 线 电波 、 干 扰 雷达 系统 。 一 一 译 者 注 
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PVOID SystemInformation, 

ULONG SystemInformationLength, 

PULONG X ReturnLength 
); 

借助 ZwQuerySystemInformation() API 可 以 获取 运行 中 的 所 有 进程 信息 ( 结构 体 )， 形 成 一 个 
PER (Linked list )。 操 作 该 链表 ( 从 链表 中 删除 ) 即 可 隐藏 相关 进程 。 所 以 在 用 户 模式 下 不 需要 
4:3 £jH CreateToolhelp32Snapshot()5EnumProcess(, Hi £j wQuerySystemInformation() API 
就 可 隐藏 指定 进程 。 请 大 家 注意 , 我们 要 钩 取 的 目标 进程 不 是 要 隐藏 的 进程 ， 而 是 其 他 进程 (WR 


作 的 不 是 “飞机 "， 而 是 “雷达 ”)。 


33.3.3 ”隐藏 技术 的 问题 


假如 我 们 要 隐藏 的 进程 为 testexe， 如 果 钧 取 运 行 中 的 ProcExp.exe ( 或 者 taskmgrexe ) 进程 的 
ZwQuerySystemInformation() API， 那 么 ProcExp.exe 就 无 法 查找 到 test.exe。 
提示 
ProcExp.exe = 进程 查看 器 
taskmgr.exe = 任务 管理 器 


使 用 上 述 方法 后 ，test.exe 就 对 ProxExp.exe (或 者 taskmgrexe ) 进程 隐藏 了 。 但 是 ， 这 种 方法 
存在 以 下 两 个 问题 。 

问题 一 : 要 钧 取 的 进程 个 数 

检索 进程 的 实用 工具 真 的 只 有 上 面 2 种 吗 ? 不 是 的 ， 除 了 上 面 提 到 的 ProxExp.exe 与 
taskmgr.exe ) 之 外 ， 还 有 众多 其 他 的 进程 检索 实用 工具 ， 其 至 包含 许多 用 户 自己 编写 的 进程 查看 
工具 。 要 想 把 某 个 进程 隐藏 起 来 ， 需要 钧 取 系统 中 运行 的 所 有 进程 。 

问题 二 :新 创建 的 进程 

如 果 用 户 再 运行 一 个 ProcExp.exe ( 或 者 taskmgrexe ) 会 怎么 样 呢 ? 由 于 第 一 个 ProcExp.exe 
进程 已 经 被 钓 取 了 ,所 以 它 查找 不 到 test.exe 进 程 。 第 二 个 ProcExp.exe 进 程 由 于 尚未 被 钩 取 ， 所 以 
仍然 能 正常 查找 到 test.exe 进 程 。 

解决 方法 : 使 用 全 局 钧 取 

为 了 解决 以 上 2 个 问题 ， 我 们 隐藏 testexe 进 程 时 需要 钩 取 系统 中 运行 的 所 有 进程 的 
ZwQuerySystemInformation() API, 并 且 对 后 面 将 要 启动 运行 的 所 有 进程 也 做 相同 的 钧 取 操 作 ( 当 
然 操作 是 自动 进行 的 )。 这 就 是 全 局 钩 取 的 概念 。 由 于 需要 在 整个 系统 范围 内 进行 钩 取 操作 ， 所 
以 才 用 了 “全 局 ”( Global ) 这 个 词 。 

提示 

全 局 API 钩 取 相关 内 容 将 在 本 章 后 半 部 分 与 下 一 章 详细 讲解 。 


下 面 通过 练习 示例 进一步 理解 、 掌 握 通过 修改 API 代 码 的 方法 钩 取 API 的 技术 。 


33.4 练习 #1 (HideProc.exe, stealth.dll) 


HideProc.exe 负 责 将 stealth.dll 文 件 注入 所 有 运行 中 的 进程 。 Stealth.dllfa $$ 44350 注入 stealth.dll 
文件 的 ) 进程 的 ntdll.ZwQuerySystemInformation() API。 接 下 来 我 们 使 用 上 面 2 个 文件 隐藏 
notepad.exe 进 程 。 








上 面 两 个 练习 文件 不 能 用 来 解决 “全 局 钓 取 -新 进程 ”的 问题 。 也 就 是 说 ， 运 行 
HideProc.exe 后 ， 新 建 的 进程 不 会 自动 钓 取 ， 因 此 这 是 一 种 不 完全 隐藏 技术 。 本 练习 示 
例 在 Windows XP SP3 & Windows 7 (32 位 ) 环境 中 通过 测试 。 








33.4.1 运行 notepad.exe、procexp.exe、taskmgr.exe 

首先 分 别 运 行 notepad.exe ( 要 隐藏 的 进程 )、procexp.exe ( 钩 取 对 象 1 )、taskmgr.exe 进 程 ( 44 
取 对 象 2 )。 
33.4.2 3217 HideProc.exe 

运行 HideProc.exe， 将 stealth.dll 文 件 注 入 当前 运行 的 所 有 进程 ， 如 图 33-4 所 示 。 








| gni SEP: CAWindows\System32Wcmd exe 





mr —Ó uu * 1] 











图 33-4 运行 HideProc.exe ( 隐藏 ) 


简要 介绍 一 下 HideProc.exe 命 令 的 几 外 参数 : 

口 -hide/-show: -hide 用 于 隐藏 ，-show 用 于 取消 隐藏 。 
口 process name: 要 隐藏 的 进程 名 称 。 

O dll path: 要 注入 的 DLL 文件 路 径 。 


33.4.3 确认 stealth.dll 注入 成 功 
使 用 Process Explorer 查 看 所 有 成 功 注 人 stealth.dll 文 件 的 进程 ， 如 图 33-5 所 示 。 
















Handle or DLL substring: — stealth.dll 





| Process PID Type Handle or DLL 
[System Process] 2108 DLL c'Wwork%stealth,dll 
cmd.exe 1064 DLL cC'%Wworkwstealth.dll | 
$||conhostexe 3232 DLL cC'Wworkwstealth.dll 
& |dwm,exe 1196 DLL c'Wworkwstealth.dll l 
explorer,exe 1460 DLL ciWworkwWstealth.dll li 
Opencapture,exe 2084 DLL c:Wworkstealth, dil l 
procexp.exe 2106 DLL cS workWstealth.dll | 
taskhostexe 192 DLL c%workwstealth.dll ! 
| taskmgr.exe 2324 DLL cWworkWstealth,dil i 
| winlogon.exe 432 DLL — c*workWstealth.dll | 
I 

















图 33-5 ”向 所 有 运行 中 的 进程 注入 stealth.dll 文 件 
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提示 
请 注意 ， 鉴 于 系统 安全 性 的 考虑 ， 系 统 进 程 ( PID 0& PID 4 ) 禁止 进行 注入 操作 。 
33.4.4 ”查看 notepad.exe 进程 是 否 隐藏 成 功 


在 procexp.exe 与 taskmgrexe 中 可 以 看 到 ， 原 来 存在 的 notepad.exe 进 程 消 失 了 (参考 图 33-6、 
图 33-7 )。 





id Process Explorer - Sysinternals: www 5ysinterriakscom [RCC | c3 || 
File Options View Process “Find Handle Users - Help 
Wi | 


Process 






PID CPU Description 


VMwareService,exe £ VMware Tools Service VMv 
Í . Microsoft Distributed Tr... Micr 
Windows &' 1 










e Searchindexer,exe 
he Quas 
s [mi Micr | 
srss,exe Client Server Runtime P... Micr 
guconhostexe - F i 
g winlogon,exe 












Notepad. exe sz 
Ak ProcExp. exe S£ Taskmgr . exei 5 















Type Name 

ALPC Port WRPC Controlf* OLEOBOD47E 42ADF 417F B 7A6D 7548AC 7 
Desktop Default 

Desktop Default 

Directory WknownDlls 

feda. ni daa RED A nM er Ain n 















XP WRO SEV) 帮助 (H) 


| 应 用 程序 | 进程 ma [me [we Jae] 3 

















| 映像 名 称 用 户 各 ov Pads R^ 
nvvsvc. exe 00 BT2 K 
Photoshop. exe Jeonhae 00 283,908 K Ad 
QQ. exe Jeonhae 00 48,076 K QQ 
| | QQProtect exe Jeonhae 00 3,132 K QQ 
| | RuDVBç exe Jeonhae 00 980 K HD 
| RtHDVCpl. exe Jeonhae 00 Re 







SkyDrive. exe 
| Snagi t32. exe 
SnagitEditor. exe 
Snagfriv, exe 
SogouCloud exe 
TaobaoProtect. exe 
i | taskhozt. exe 
taskmgr. exe 
|| | TscHelp. exe 
| utility exe 
i 
i| 
| 











| 文件 月 ~ S80 TEX) mw) EA Tope: a 
Notepad. exet . 
从 ProcExp. exe 与 Taskmgr .exe 消失 




















Weibo2014, exe 
winlogon. exe us — 
wuauclt, exe Jeonhae 00 540 K wi 
Jeonhae 





XDict. exe 






































图 33-7 task. dd exe 进 程 消失 
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虽然 notepad.exe 进 程 的 确 在 运行 ,但 procexp.exe 与 taskmgrexe 中 确实 看 不 到 notepad.exe 进 程 ， 
如 图 33-6 与 图 33-7 所 示 。 


由 于 仍然 能 看 到 记事 本 窗口 ， akanai paee 
我 们 的 目标 只 是 隐藏 线程 本 身 ， 可 以 暂时 不 管 程 序 窗 





33.4.5 ”取消 notepad.exe 进程 隐藏 


以 -show 模 式 运 行 HideProc.exe 命 令 ， 将 stealth.dll 文 件 从 所 有 进程 中 和 缉 载 ， 如 图 33-8 所 示 。 





| m EEG CNWindows\System S gum d.exe 


HOS PEU! 


Us 
Usage “: Hide "xe hide!-show? €process name? <All path 


iG: vvork^HideProc.exe -show notepad.exe c:/uork/stealth.d11l 











图 33-8 ”运行 HideProc.exe ( 取消 隐藏 ) 


在 procexp.exe 与 taskmgrexe 中 查看 notepad.exe 进 程 ， 可 以 看 到 它 又 正常 显示 。 


33.5 源 代码 分 析 


下 面 分 析 练 习 示 例 的 源 代码 ， 进 一 步 了 解 通 过 修改 API 代 码 来 实现 API 钓 取 的 技术 原理 。 
提示 

所 有 源 代码 均 使 用 VC++2010 Express Edition 工具 开发 而 成 ,并 在 Widows XP SP3 
& Windows 7 (32 位) 系统 环境 中 通过 测试 。 





33.5.1 HideProc.cpp 


HideProc.exe 程 序 负责 向 运行 中 的 所 有 进程 注入 / 印 载 指定 DLL 文件 , 它 在 原 有 InjectDll.exe 程 
序 基础 上 添加 了 向 所 有 进程 注入 DLL 的 功能 ， 可 以 认为 是 InjectDll.exe 程 序 的 加 强 版 。 

InjectAllProcess() 

InjectAllProcess()Z&hideproc.exe 2 FF JEU PAZ, EE To Rue TPA ERE, #RJ X 
将 指定 DLL 注 入 各 进程 或 从 各 进程 印 载 。 下 面 分 析 InjectAllProcess0 〇 函数 ， 源 代码 如 下 : 
s w E: 1 AIIPrOCOeSS 


BOOL InjectAllProcess(int nMode, LPCTSTR szDllPath) 
t 
































DWORD dwPID = 0; 


HANDLE hSnapShot = INVALID HANDLE VALUE; 
PROCESSENTRY32 pe; f 
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// 获取 系统 快照 
pe.dwSize = sizeof(PROCESSENTRY32); 
hSnapShot = CreateToolhelp32Snapshot(TH32CS SNAPALL, NULL); 


// 查找 进程 
Process32First(hSnapShot, &pe); 
do 


1 
dwPID = pe.th32ProcessID; 


// 鉴于 杀 统 安全 性 的 考虑 

// 对 于 PID 小 于 100 的 系统 进程 

// 不 执行 DLL 注 入 操作 

if( dwPID < 100 ) 
continue; 


if( nMode == INJECTION MODE ) 
InjectDll(dwPID, szDllPath); 
else 
EjectDll(dwPID, szDliPath); 
Jwhile( Process32Next(hSnapShot, &pe) ); 


CloseHandle(hSnapShot); 


return TRUE; 


首先 使 用 CreateToolhelp32Snapshot() API 获 取 系 统 中 运行 的 所 有 进程 的 列表 ， 然 后 使 用 
Process32First()5j Process32Next() API 将 获得 的 进程 信息 存放 到 PROCESSENTRY32 结 构 体 变量 pe 
中 ， 进 而 获取 进程 的 PID。 

VJ FJéCreateToolhelp32Snapshot(), Process32First(), Process32Next() API 的 函数 定义 ( 出 处 : 


MSDN ): 

HANDLE WINAPI CreateToolhelp32Snapshot( 
__in DWORD dwFlags, 
__in DWORD th32ProcessID 

); 


BOOL WINAPI Process32First( 

_ in HANDLE hSnapshot, 

.. inout LPPROCESSENTRY32 lppe 
); 


BOOL WINAPI Process32Next( 
__in HANDLE hSnapshot, 
__out LPPROCESSENTRY32 lppe 

); 


EM. ————————————— F ms 
请 注意 ， 只 有 先 提 升 HideProc.exe 进程 的 权限 ( 特权 )， 才 能 准确 获取 所 有 进程 的 


列表 。 在 HideProc.cpp P”, main) A% PIA T SetPrivilegeO 函 数 ， 而 SetPrivilege():& 
数 内 部 又 调用 了 AdjustTokenPrivileges() API 为 HideProc.exe 提升 权限 。 


获取 了 进程 的 PID 后 ， 要 根据 所 用 的 命令 选项 ( -show/-hide ) 来 选择 调用 InjectD11O 函 数 还 是 
EjectD110 函 数 。 还 需要 注意 的 一 点 是 ， 某 进程 的 PID 小 于 100 时 ， 则 忽略 它 ， 不 进行 操作 。 原 因 在 
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于 ， 系 统 进 程 的 PID ( PID20,4,8,..) 一 般 都 小 于 100， 为 保证 系统 安全 性 ， 不 会 对 这 些 进 程 注 人 
DLL 文件 ( 这 些 PID 值 来 自 对 Windows XP/Vista/7 OS 的 分 析 使 用 经 验 ， 其 他 Windows 版 本 中 ， 系 
统 进程 的 PID 值 可 能 不 同 )。 


33.5.2 stealth.cpp 


实际 的 API 钧 取 操 作 由 Stealth.dll 文 件 负责 ， 下 面 分 析 其 源 代码 ( Stealth.cpp )。 
SetProcName() 
首先 看 导出 APN 





代码 33-2 SetProcName() s 
// global variable (in SERT memory) 
#pragma comment(linker, “/SECTION:.SHARE,RWS“”) 
#pragma data seg(".SHARE") 
TCHAR g szProcName[MAX PATH] = (0,); 
s pragma data seg() 


// export function 
#ifdef _ cplusplus 
extern "C" ( 


#endif 
. declspec(dllexport) void SetProcName(LPCTSTR szProcName) 
1 
 tcscpy s(g szProcName, szProcName); 
} 
#ifdef _ cplusplus 
} 
#endif 


以 上 代码 先 创 建 名 为 “.SHARE” 的 共享 内 存 节 区 ， 然 后 创建 g_szProcName 缓 冲 区 ， 最 后 再 
由 导出 函数 SetProcName(0 将 要 隐藏 的 进程 名 称 保存 到 g szProcNamerP ( SetProcName() PK C TE 
HideProc.exe 中 被 调用 执行 )。 

提示 一 一 
在 共享 内 存 节 区 创建 g szProcName 缓冲 区 的 好 处 在 于 , stealth.dll 被 注入 所 有 进程 
时 ， 可 以 彼此 共享 隐藏 进程 的 名 称 ( 随 着 程序 不 断 改 进 ， 甚 至 也 可 以 做 到 动态 修改 隐 
藏 进程 )。 





DIIMain() - 
DIM PU 





BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID 


lpvReserved) 
t 
char szCurProc[MAX PATH] = {0,}; 
char *p = NULL; 


// 41. ARAR 

// 若 当 前 进程 为 HideProc.exe， 则 终止 ， 不 进行 匆 取 操作 。 

GetModuleFileNameA(NULL, szCurProc, MAX PATH); 

p = strrchr(szCurProc, 'NV'); 

if( (p != NULL) && ! stricmp(p-i, "HideProc.exe") ) 
return TRUE; 
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switch( fdwReason ) 
X 
// 42. APIK H 
case DLL PROCESS ATTACH : 
hook by code(DEF NTDLL, DEF ZWQUERYSYSTEMINFORMATION, 
(PROC)NewZwQuerySystemInformation, g pOrgBytes); 
break; 


// $3. API "45" 
case DLL PROCESS DETACH : 
unhook by code(DEF NTDLL, DEF ZWQUERYSYSTEMINFORMATION, 
g pOrgBytes); 
break; 
H 


return TRUE; 


如 上 所 见 ，DIIMain0) 函 数 的 代码 非常 简单 。 首 先 比较 字符 串 ， 若 进程 名 为 “HideProc.exe”， 
则 进行 异常 处 理 ， 不 钧 取 API。 发 生 DLL PROCESS_ATTACH 事 件 时 ， 调 用 hook by code) K% 
钓 取 API; 发 生 DLL PROCESS_DETACH 事 件 时 ,调用 unhook_by_code() 函 数 取 消 API 钓 取 。 


hook_by_code() 
该 hook_by_codeO) 函 数 通过 修改 代码 实现 API 钩 取 操作 。 


代码 33-4 hook by code() 


BOOL hook by code(LPCSTR szDllName, LPCSTR szFuncName, PROC pfnNew, PBYTE 
pOrgBytes) 
t 
FARPROC pfnOrg; 
DWORD dwOldProtect, dwAddress; 
byte pBuf[5] = (0xE9, 0, J; 
PBYTE pByte; 


// 获取 要 钩 取 的 API 地 址 
pfnOrg = (FARPROC)GetProcAddress (GetModuleHandleA(szDllName), 


szFuncName) ; 
pByte = (PBYTE)pfnOrg; 


// 若 已 经 被 钓 取 ， 则 返回 FALSE 
if( pByte[0] == OxE9 ) 
return FALSE; 


// 为 了 修改 5 个 字 节 ， 先 向 内 存 添加 “ 写 ” 属 性 
VirtualProtect((LPVOID)pfnOrg,. 5, PAGE EXECUTE READWRITE, 
&dwOldProtect); 


// 备份 原 有 代码 (5T) 
memcpy(pOrgBytes, pfnOrg, 5); 


// 计算 JMP 地 址 (E9 XXXXXXXX) 

XXXXXXXX = (DWORD)pfnNew - (DWORD)pfnOrg - 5; 
dwAddress = (DWORD)pfnNew- (DWORD)pfnOrg 5; 
memcpy(&pBuf[1], &dwAddress, 4); 


// “HF”: 修改 5 个 字 节 (JMP XXXXXXXX) 
memcpy(pfnOrg, pBuf, 5); 


// 恢复 内 存 属性 
VirtualProtect((LPVOID)pfnOrg, 5, dwOldProtect, &dwOldProtect); 


return TRUE; 
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hook_by_code() 函 数 参数 介绍 如 下 : 

LPCTSTR szDlIName: [IN] 包含 要 钩 取 的 API 的 DLL 文件 名 称 。 

LPCTSTR szFuncName: [IN] 要 钧 取 的 API 名 称 。 

PROC pfnNew: [IN] 用 户 提 供 的 钓 取 函数 地 址 。 

PBYTE pOrgBytes: [OUT] 存储 原来 5 个 字 节 的 缓冲 区 -后 面 “ 脱 钓 ” 时 使 用 。 

正如 在 工作 原理 中 提 到 的 一 样 ，hook_by_code() 函 数 用 于 将 原来 API 人 代码 的 前 5 个 字 节 更 改 为 
“IMP XXXXXXXX” 指 令 。 函 数 源 代码 比较 简单 ， 结 合 代 码 注 释 很 容易 理解 ， 中 间 跳 转 地 址 的 
换算 部 分 是 代码 逆向 分 析 中 相当 重要 的 内 容 ， 下 面 仔细 看 看 。 

根据 Intel x86 ( IA-32 ) 指令 格式 ，JMP 指 令 对 应 的 操作 码 为 E9， 后 面 跟 着 4 个 字 节 的 地 址 。 
也 就 是 说 ，JMP 指 令 的 Instruction 实 际 形式 为 “E9 XXXXXXXX”。 需 要 注意 的 是 ,XXXXXXXX 
地 址 值 不 是 要 跳 转 的 绝对 地 址 值 ,而 是 从 当前 JMP 命 令 到 跳 转 位 置 的 相对 距离 。 通 过 下 述 关系 式 
可 求 得 XXXXXXXX 地 址 值 。 


XXXXXXXX= 要 跳 转 的 地 址 -当前 指令 地 址 -当前 指令 长 度 (5) 


最 后 又 减 去 5 个 字 节 是 因为 JMP 指 令 本 身长 度 就 是 5 个 字 节 。 例 如 ， 当 前 JMP 指 令 的 地 址 为 
402000， 若 想 跳 转 到 401000 地 址 处 ， 写 成 “E9 00104000” 是 不 对 的 ，XXXXXXXX 地 址 值 要 使 用 
上 面 的 等 式 换算 才 行 。 


XXXXXXXX=401000-402000-5=FFFFEFFB 
所 以 JMP 指 令 的 Instruction 应 为 “E9 FFFFEFFB” , 通过 OllyDbg 的 汇编 或 编辑 功能 可 以 确认 这 
一 点 ， 如 图 33-9 所 示 。 


DBHB2B05 | " "E ; Hos f 
0062 006 Assemble at 00402000 [x] 





` | ramps z] 
> 


图 33-9 ”OllyDbg 的 汇编 功能 


提示 一 一 
除了 JMP 指令 外 ， 还 有 一 种 short MP 命令 ， 顾 名 思 义 ， 它 是 用 来 进行 短 距 离 跳 
转 的 指令 ， 对 应 的 IA-32 指令 为 “EB XX” ( 指令 长 度 为 2 字 节 )。 希望 各 位 在 OllyDbg 
中 自己 测试 一 下 EB 指令 。 


ar MM T 
像 上 面 这 样 每 次 使 用 IMP 指令 都 要 计算 相对 地 址 ， 显 得 不 太 方便 。 当 然 ， 也 可 以 
使 用 其 他 指令 直接 用 绝对 地 址 跳 转 ， 但 是 这 样 的 指令 长 度 往往 较为 复杂 。 

例 (1) PUSH+RET 

68 00104000 PUSH 00401000 

C3 RETN 

4] (2) MOV+JMP 

B8 00104000. MOV EAX, 00401000 

FFE0 JMP EAX 
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提示 


计算 32 位 地 址 时 ,使 用 Windows 的 计算 器 显得 有 些 不 方便 。 推 荐 大 家 试 试 32 位 
的 Calculator v1.7 by cybult， 它 是 一 款 实用 性 超 强 的 计算 器 
提示 


关于 解析 Op 代码 映射 的 方法 请 参考 第 49 章 


实际 的 ZwQuerySystemInformation() APIAN & E H hook by_code0 函数 完 成 ， 下 面 使 用 
OllyDbg 对 ZwQuerySystemInformation() API 钩 取 前 /后 进行 调试 ， 进 一 步 了 解 钩 取 技术 原理 ( 相应 
进程 为 procexp.exe )。 

$4 RA Z Bil 

首先 看 看 钓 取 前 的 ZwQuerySystemInformation() API 代 码 。 


ZwQuerySystemInformation() 的 地 址 为 7C93D92E， 指 令 代码 如 图 33-10 所 示 。 


T "T a0 — 
CALL DWORD PTR DS:LEDXJ 
E 1000 18 


RETN 
RR OFAAAAAA 





OP 
Mol! Fav AOF 


图 33-10 fH Bi ra 
7C93D92E B8 AD000000 


SUR ZI: 


MOV EAX, OAD 


注入 stealth.dll 文 件 ， 由 hook_by_code0 函 数 钧 取 API 后 ， 代 码 如 图 33-11 所 示 。 


7920923 










— - E00 
FF12 CACC DWORD PTR DS: CEDX] 
C2 1000 RETN 168 
350 NOP 
ga” nr ZonuscuGuesremT ime Ra araaanaa (MAI rav ear 
di) 
?L930D92E 





ma Ar nn nnl ne 


图 33-11 


re >= 


BR ga e3| FE ZF FF 12|C2 10 00 98 


钩 取 后 的 ZwQuerySystemJInformation0 代 码 


ZwQuerySystemInformation0 函 数 起 始 代码 做 了 如 下 更 改 (前 5 个 字 节 ) 
7C93D92E E9 ED376C93 JMP 10001120 


地 址 10001120 就 是 钓 取 数 stealth.NewZwQuerySystemInformation() 的 地 址 。 并 且 E9 后 面 的 4 个 
字 节 (936C37ED ) 就 是 使 用 前 面 的 公式 计算 得 到 的 (希望 各 位 自己 算 一 算 )。 
提示 


示例 环境 中 ，Stealth.dll 加 载 到 ProcExp.exe 进程 的 10000000 地 址 
unhook by code() 


unhook_by_code0) 函 数 是 用 来 取消 钓 取 的 函数 ， 如 代码 33-5 所 示 。 
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代码 33-5 unhook by code( U u l 
BOOL unhook by code(LPCTSTR pea LPCTSTR UC PBYTE 
pOrgBytes) 


1 


5, 


FARPROC pFunc; 
DWORD dwOldProtect; 
PBYTE pByte; 


// 获取 API 地 址 
pFunc = GetProcAddress(GetModuleHandleA(szDllName), szFuncName); 


pByte = (PBYTE)pFunc; 


// 若 已 经 “ 脱 钓 "， 则 返回 FLASE 
if( pByte[0] != OxE9 ) 
return FALSE; 


// 向 内 存 添 如“ 写 ”属性 ， 为 恢复 原 代码 (5 个 字 节 ) 准备 
VirtualProtect((LPVOID)pFunc, 5, PAGE EXECUTE READWRITE, 
&dwOldProtect); 


// "BLA" 
memcpy(pFunc, pOrgBytes, 5); 


// 恢复 内 存 属 性 
VirtualProtect((LPVOID)pFunc, 5, dwOldProtect, &dwOldProtect); 


return TRUE; 


其 实 ,“ 脱 钓 ”的 工作 原理 非常 简单 ， 就 是 将 函数 代码 开始 的 前 5 个 字 节 恢复 原 值 ( 代码 很 简 
请 参考 注释 理解 )。 

NewZwQuerySystemlnformation() 

最 后 , 分 析 钓 取消 数 NewZwQuerySystemInformation()。 在 此 之 前 , 先 看 看 ntdl.ZwQuerySystem- 


Information() API。 
NTSTATUS WINAPI ZwQuerySystemInformation( 


in SYSTEM INFORMATION CLASS SystemInformationClass, 


_ inout PVOID SystemInformation, 


in ULONG SystemInformationLength, 


.. out opt PULONG ReturnLength 


J$ 


typedef struct _SYSTEM_PROCESS_INFORMATION { 


ULONG NextEntryOffset; 
ULONG NumberOfThreads; 
byte Reserved1[48]; 

PVOID Reserved2[3]; 
HANDLE UniqueProcessId; 
PVOID Reserved3; 

ULONG HandleCount; 

byte Reserved4[4]; 

PVOID Reserved5[11]; 
SIZE T PeakPagefileUsage; 
SIZE T PrivatePageCount; 
LARGE INTEGER Reserved6[6]; 


) SYSTEM PROCESS INFORMATION, *PSYSTEM PROCESS INFORMATION; 


简单 讲解 : df SystemInformationClass Z £ i 8t 7j SystemProcessInformation(5) 后 调 用 


ZwQuerySystemInformation() API, SystemInformation [in/out] 参 数 中 存储 的 是 SYSTEM PROCESS 
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_INFORMATION 结 构 体 单 向 链表 ( single linked list ) 的 起 始 地 址 。 该 结构 体 链表 中 存储 着 运行 中 
的 所 有 进程 的 信息 。 所 以 ， 隐 藏 某 进 程 前 ， 先 要 查找 与 之 对 应 的 链表 成 员 ， 然 后 断 开 其 与 链表 的 


链接 。 接 下 来 看 看 NewZwQuerySystemInformation0) 函 数 的 代码 ， 了 解 具体 实现 方式 。 


代码 33-6 NewZwQuerySysteminformation() 





NTSTATUS WINAPI NewZwQuerySystemInformation( 
SYSTEM INFORMATION CLASS SystemInformationClass, 
PVOID SystemInformation, 
ULONG SystemInformationLength, 
PULONG ReturnLength) 


NTSTATUS status; 

FARPROC pFunc; 

PSYSTEM PROCESS INFORMATION pCur, pPrev; 
char szProcName[MAX PATH] = {0,}; 


// 开始 前 先 “ 脱 钩 ” 
unhook by code(DEF NTDLL, DEF ZWQUERYSYSTEMINFORMATION, g pOrgBytes); 


// 调用 原始 API 
pFunc = GetProcAddress(GetModuleHandleA(DEF NTDLL), 
DEF ZWQUERYSYSTEMINFORMATION); 
status = ((PFZWQUERYSYSTEMINFORMATION) pFunc) 
(SystemInformationClass, SystemInformation, 
SystemInformationLength, ReturnLength); 


if( status !- STATUS SUCCESS ) 
goto _ NTQUERYSYSTEMINFORMATION END; 


// 仅 针 对 SystemProcessInformation 类 型 操作 
if( SystemInformationClass == SystemProcessInformation ) 
1 
// SYSTEM PROCESS INFORMATION 类 型 转换 
// pCUr 是 单 向 链表 的 头 
pCur = (PSYSTEM PROCESS INFORMATION) SystemInformation; 


while (TRUE) 

{ 
// 比较 进程 名 称 
// g szProcName 为 要 隐藏 的 进程 名 称 
// (= 在 SetProcName() 设 置 ) 
if(pCur->Reserved2[1] != NULL) 


1 
if(! tcsicmp((PWSTR)pCur-»Reserved2[1], g szProcName)) 
t 
// 从 链表 中 删除 隐藏 进程 的 节点 
if(pCur->NextEntryOffset == 0) 
pPrev-»NextEntryOffset = 0; 
else 
pPrev-»NextEntryOffset += pCur-»NextEntryOffset; 
J 
else 
pPrev = pCur; 
} 
if(pCur->NextEntryOffset == 0) 
break; 
// 链表 的 下 一 项 


pCur = (PSYSTEM PROCESS INFORMATION) 
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((ULONG)pCur + pCur-»NextEntryOffset); 
) 
} 


_ _NTQUERYSYSTEMINFORMATION END: 


// HAAL, Book 4FAPI4 R 4E4E, ATRAN 
hook by code(DEF NTDLL, DEF ZWQUERYSYSTEMINFORMATION, 
(PROC)NewZwQuerySystemInformation, g pOrgBytes); 


return status; 


对 NewZwQuerySystemInformation(0) 函 数 的 结构 简要 说 明 如 下 : 

O “JJ” ZwQuerySystemInformation() AX; 

口 调用 ZwQuerySystemInformation(); 

口 检查 SYSTEM PROCESS INFORMATION 结构 体 链 表 ， 查 找 要 隐藏 的 进程 ; 

口 查找 到 要 隐藏 的 进程 后 ， 从 链表 中 移 除 ; 

O fE£J (hook) ZwQuerySystemInformation()。 

NewZwQuerySystemInformation() 函数 代码 的 中 间 部 分 有 一 个 while0 语 句 ， 它 用 来 检查 
PROCESS_INFORMATION 结 构 体 链表 ， 比 较 进 程 名 称 ( pCur->Reserved2[1] ) ( 进程 名 称 为 
Unicode 字 符 串 )。 如 果 掌 握 了 函数 的 工作 原理 ,再 结合 代码 注释 ,相信 大 家 在 理解 上 应 该 没什么 
困难 。 


33.6 全 局 AP| 钧 取 


本 节 正 式 开 始 讲解 全 局 API 钩 取 的 概念 及 具体 实现 方法 。 全 局 API 钩 取 实 质 也 是 一 种 API 钩 取 
技术 ， 它 针对 的 进程 为 : 当前 运行 的 所 有 进程 ; @) 将 来 要 运行 的 所 有 进程 。 

请 注意 ， 前 面 讲解 过 的 示例 程序 ( HideProc.exe、stealth.dll ) 并 不 是 全 局 API 钧 取 的 例子 ， 因 
为 它 并 不 满足 全 局 API 钩 取 定 义 中 的 第 @ 个 条 件 。 也 就 是 说 ， 虽 然 运 行 HideProc.exe 将 notepad.exe 
进程 隐藏 起 来 ,但 是 若 重新 运行 新 的 Process Exploer ( 或 者 task manager )，notepad.exe 进 程 在 它们 
之 中 仍然 可 见 。 原 因 在 于 ， 运 行 HideProc.exe 后 未 对 新 创建 的 进程 ( 自动 ) TE Astealth.dl SC f/F 
有 多 种 方法 可 以 解决 这 一 问题 ， 全 局 API 钩 取 就 是 其 中 一 种 ， 下 面 讲解 该 技术 的 具体 实现 方法 。 


33.6.1 Kernel32.CreateProcess() API 


Kernel32.CreateProcess() API 用 来 创建 新 进程 。 其 他 启动 运行 进程 的 API ( WinExec()、 
ShellExecute(), system() ) 在 其 内 部 调用 的 也 是 该 CreateProcess() 函 数 ( 出 处 : MSDN )。 


BOOL WINAPI CreateProcess( 
cL 0E Opt LPCTSTR lpApplicationName, 
. inout opt LPTSTR lpCommandLine, 
.. in opt LPSECURITY ATTRIBUTES lpProcessAttributes, 


. in opt LPSECURITY ATTRIBUTES lpThreadAttributes, 
in BOOL bInheritHandles, 

SX DWORD dwCreationFlags, 
in opt LPVOID lpEnvironment, 

...in opt LPCTSTR lpCurrentDirectory, 
in LPSTARTUPINFO lpStartupInfo, 


a OUt LPPROCESS_INFORMATION lpProcessInformation 
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因此 , 向 当前 运行 的 所 有 进程 注入 stealth.dll 后 ,如 果 在 stealth.dll 中 将 CreateProcess() API 也 一 
XH, 那么 以 后 运行 的 进程 也 会 自动 注入 stealth.dll 文 件 。 进 一 步 说 明 如 下 : 由 于 所 有 进程 都 是 
由 父 进 程 ( 使 用 CreateProcess() OEH , Bir LA , PRHE H CreateProcess() API 就 可 以 将 stealth.dll 
文件 注入 所 有 子 进 程 ( 父 进程 通常 都 是 explorer.exe ) 怎么 样 ? 这 个 想法 不 错 吧 ? 全 局 API 钓 取 的 
实现 方法 没有 想 得 那 么 难 ， 但 钓 取 CreateProcess() API 时 ， 要 充分 考虑 以 下 几 个 方面 。 

(1) #JHXCreateProcess() API 时 , 还 要 分 别 钓 取 kernel32.CreateProcessA(、kernel32.CreateProcessW() 
这 2 个 API( ASCII 版 本 与 Unicode 版 本 )。 

(2) CreateProcessA() 、CreateProcessW() 函 数 内 部 又 分 别 调用 了 CreateProcessInternalA()、 
CreateProcessInternalW() 函 数 。 常 规 编程 中 会 大 量 使 用 CreateProcess0 函 数 ， 但 是 微软 的 部 分 软件 
产品 中 会 直接 调用 CreateProcessInternalA/W 这 2 个 函数 。 所 以 具体 实现 全 局 API 钩 取 时 ， 为 了 准确 
起 见 ， 还 要 同时 钩 取 上 面 2 个 函数 ( 若 可 能 ， 尽 量 钧 取 低 级 API )。 

(3) 钩 取 函数 ( NewCreateProcess ) 要 钓 取 调 用 原 函 数 ( CreateProcess ) 而 创建 的 子 进程 的 API。 
因此 ， 极 短 时 间 内 ， 子 进程 可 能 在 未 钧 取 的 状态 下 运行 。 

我 们 进行 全 局 API 钓 取 时 必须 解决 上 面 这 些 问 题 。 幸 运 的 是 ， 很 多 代码 逆向 分 析 高 手 通 过 努 
力 发 现 了 比 kernel32.CreateProcess() 更 低级 的 API， 钧 取 它 效果 会 更 好 (能够 一 次 性 解决 上 面 所 有 
问题 )。 这 个 API 就 是 ntdll.ZwResumeThread() API; 


33.6.2 Ntdll.ZwResumeThread() API 


ZwResumeThread( 
IN HANDLE ThreadHandle, 
OUT PULONG SuspendCount OPTIONAL 
); 用 户 模式 下 ，NtXXX 系 列 与 ZwXXX 系 列 仅 是 名 称 不 同 ， 它 们 其 实 是 相同 的 APl。 


ZwResumeThread() FR X. ( 出 处 : MSDN ) 在 进程 创建 后 、 主 线程 运行 前 被 调用 执行 (在 
CreateProcess() API 内 部 调用 执行 )。 所 以 只 要 钩 取 这 个 函数 ， 即 可 在 不 运行 子 进程 代码 的 状态 下 
钩 取 API。 但 需要 注意 的 是 ，ZwResumeThread0 是 一 个 尚未 公开 的 API， 将 来 的 某 个 时 候 可 能 会 
被 改变 ， 这 就 无 法 保障 安全 性 。 所 以 ， 钩 取 类 似 ZwResumeThread0 的 尚未 公开 API 时 ， 要 时 刻 记 
得 , 随 着 OS 补丁 升级 ,该 API 可 能 更 改 , 这 可 能 使 在 低 版 本 中 正常 运行 的 钧 取 操作 到 了 新 版 本 中 
突然 无 法 正常 运行 。 


33.7 练习 #2 (HideProc2.exe,Stealth2.dll) 
提示 一 一 


stealth2.dll 用 来 钓 取 CreateProcess, 44J& ZwResumeThread 请 参考 第 34 章 。 本 练 
习 示 例 在 Windows XP SP3 & Windows 7 ( 32 位) 环境 下 通过 测试 。 


请 注意 ， 为 操作 简单 ， 本 练习 中 我 们 将 只 隐藏 notepad.exe。 


33.7.1 复制 stealth2.dll 文件 到 %SYSTEM% 文 件 夹 中 


为 了 把 stealth2.dll 文 件 注入 所 有 运行 进程 ， 首 先 要 把 stealth2.dll 文 件 复制 到 %SYSTEM% 文 件 
夹 ， 所 有 进程 都 能 识别 该 路 径 ， 如 图 33-12 所 示 。 
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F833-12 ”复制 stealth2.dll 


33.7.2 ”运行 HideProc2.exe -hide 


与 以 前 的 HideProc.exe 相 比 ，HideProc2.exe 只 是 运行 参数 发 生 了 改变 。 由 于 要 隐藏 的 进程 名 
称 被 硬 编码 为 notepad.exe， _ 以 运行 隐藏 程序 时 不 需要 再 输入 。 使 用 -hide 选 项 运行 HideProc2.exe 
后 ， 全 局 API 钩 取 就 开始 了 Ci Tur oninia bom 
是 否 正常 注 人 运行 进程 )， 如 图 33-13 所 示 。 





901 
rporation 


j:work?lideProc2.exe -hide stealth2.d11, 











图 33-13 ”运行 HideProc2.exe ( 隐藏 ) 


33.7.3 ”运行 ProcExp.exe&notepad.exe 


请 运行 多 个 Process Explorer ( 或 者 任务 管理 器 ) 与 notepad 程 序 ， 如 图 33-14 所 示 。 
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[433-14 Process Explorer jnotepad 


从 图 33-14 中 可 以 看 到 ， 分 别 运行 了 2 个 ProcExp.exe 与 notepad.exe 进 程 。 但 是 ProcExp.exe 中 却 
看 不 到 notepad.exe 进 程 ， 它 被 隐藏 起 来 了 。 大 家 可 以 尝试 多 运行 几 个 ProcExp.exe， 最 终结 果 都 是 
一 样 的 ， 新 创建 的 ProcExp.exe 进 程 中 ，notepad.exe 进 程 都 被 隐藏 起 来 、 都 是 不 可 见 的。 这 就 是 全 
局 API 钧 取 要 实现 的 效果 。 


33.7.4 运行 HideProc2.exe -show 


运行 HideProc2.exe -show 命 令 ， 撤 销 全 局 API 钧 取 操作 ， 如 图 33-15 所 示 。 





mm 
uy EEA CAWindowsxXSystem32Vmd.exe. 





TT 


2: worlOHideProc2.exe -shov stealth2.dll | 





es = == i Emu 


[33-15 ”运行 HideProc2.exe ( 撤销 隐藏 ) 





现在 Process Explorer ( 或 者 任务 管理 器 ) 中 又 能 看 到 notepad.exe 进 程 了 
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33.8 源 代码 分 析 


33.8.1 HideProc2.cpp 


与 前 面 的 HideProc.cpp 相 比 ，HideProc2.cpp 只 是 减少 了 运行 参数 的 个 数 ， 相 关 讲 解 请 参考 前 
面 的 内 容 。 


33.8.2 stealth2.cpp 


与 前 面 的 stealth.cpp 相 比 ，stealth2.cpp 的 不 同 之 处 在 于 将 要 隐藏 的 进程 名 称 硬 编码 为 
notepad.exe, Jf HEZIn T #JHZCreateProcessA() API 与 CreateProcessW() API 的 代码 ， 以 便 实现 全 局 
钩 取 操 作 。 

DIIMain() 


代码 33-7 DlMain) ` ; 


BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID 


lpvReserved) 
{ 
char szCurProc[MAX_PATH] = {0,}; 
char *p = NULL; 
// 异常 处 理 使 注入 不 会 发 生 在 HideProc2.exe 进 程 
GetModuleFileNameA(NULL, szCurProc, MAX PATH); 
p = strrchr(szCurProc, 'NN'); 
if( (p != NULL) && ! stricmp(p*1, "HideProc2.exe") ) 
return TRUE; 
// ik privilege 
SetPrivilege(SE DEBUG NAME, TRUE); 
switch( fdwReason ) 
t 
case DLL PROCESS ATTACH : 
// hook 
hook by code("kernel32.dll", "CreateProcessA", 
(PROC)NewCreateProcessA, g pOrgCPA); 
hook by code("kernel32.dll", "CreateProcessW", 
(PROC)NewCreateProcessW, g pOrgCPW); 
hook by code("ntdll.dll", "ZwQuerySystemInformation", 
(PROC)NewZwQuerySystemInformation, g pOrgZwQSI); 
break; 
case DLL PROCESS DETACH : 
// unhook 
unhook by code("kernel32.dll", "CreateProcessA", 
g pOrgCPA); : 
unhook by code("kernel32.dll", "CreateProcessW", 
g pOrgCPW); 
unhook by code("ntdll.dll", "ZwQuerySystemInformation", 
g pOrgZwQSI); 
break; 
1 
return TRUE; 
) 


从 以 上 DIIMain0 函 数 代码 中 可 以 看 到 ， 新 增 了 对 CreateProcessA()、CreateProcessW() API 进 
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行 钩 取 /“ 有 脱钩” 的 代码 。 

NewCreateProcessA() 

FE NewCreateProcessA() AXURI, “E: #JHX CreateProcessA() API 的 函数 (代码 与 
NewCreateProcessW0O 几 乎 一 样 )。 


代码 33-8 NewCreateProcessA() 
BOOL WINAPI NewCreateProcessA( 
LPCTSTR lpApplicationName, 
LPTSTR lpCommandLine, 
LPSECURITY ATTRIBUTES lpProcessAttributes, 
LPSECURITY ATTRIBUTES lpThreadAttributes, 
BOOL bInheritHandles, 
DWORD dwCreationFlags, 
LPVOID lpEnvironment, 
LPCTSTR lpCurrentDirectory, 
LPSTARTUPINFO lpStartupInfo, 
LPPROCESS INFORMATION lpProcessInformation 





{ 

BOOL bRet; 

FARPROC pFunc; 

// unhook 

unhook by code("kernel32.dll", "CreateProcessA", g pOrgCPA); 

// 调用 原始 API 

pFunc = GetProcAddress (GetModuleHandleA(“kernel32.dll”), 

“CreateProcessA”); 

bRet = ((PFCREATEPROCESSA)pFunc)(lpApplicationName, 
lpCommandLine, 
lpProcessAttributes, 
lpThreadAttributes, 
bInheritHandles, 
dwCreationFlags, 
lpEnvironment, 
lpCurrentDirectory, 
lpStartupInfo, 
lpProcessInformation); 

// 向 生成 的 子 进程 注入 SteaLth2.dLL 

if( bRet ) 

InjectDLL2(LpProcessInformation->hProcess，STR_MODULE_NAME) ; 
// hook 
hook by code("kernel32.dll", "CreateProcessA", 
(PROC)NewCreateProcessA, g pOrgCPA); 
return bRet; 
} 


NewCreateProcessA ORURE EE, IT “t” HRE (unhook by code), JHH 
行 原 函 数 ， 再 将 stealth2.dll 注 和 (InjectDII2 ) 生成 的 子 进程 ， 最 后 再 钧 取 ( hook_by_code ), 为 下 
次 运行 做 准备 。 其 中 需要 注意 的 是 , 注入 stealth2.dll 文 件 用 的 函数 为 InjectD1120。 以 前 的 InjectD110 
函数 通过 PID 获 取 进 程 句柄 进行 注入 (调用 OpenProcess0) API ), 但 在 上 述 示 例 中 调用 
CreateProcessA() API 时 ， 能 自然 而 然 获 得 子 进程 的 句柄 ( IpProcessInformation->hProcess )， 请 留 
意 这 一 点 。 


到 此 我 们 学 习 了 有 关 全 局 API 钓 取 的 内 容 。 由 于 它 是 一 种 钧 取 系统 全 部 进程 的 技术 ， 所 以 有 
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时 会 引发 意料 之 外 的 错误 。 使 用 这 项 技术 前 必须 仔细 测试 。 男 外 ， 钩 取 尚 未 公开 的 API 时 ， 一定 
要 检查 它 在 当前 OS 版 本 中 能 否 正 常 运行 。 


33.9 FA “T” HRH API 


33.9.1 API 代码 修改 技术 的 问题 
对 代码 33-8 中 NewCreateProcessAO 函 数 的 结构 简单 梳理 如 下 : 


NewCreateProcessA( ... ) 
í 

// © “B” 

// @ 调用 原始 API 

// 图 注入 

// 图 挂钩 


} 

为 正常 调用 原 API， 需 要 先 Q) “MWA CRAS “WMA, V8HODIGAPDSUZ IG ACER RTT )。 
然后 在 钧 取 函 数 ( NewCreateProcessA ) 返回 前 再 次 @ 挂 钓 ， 使 之 进入 钧 取 状 态 。 

也 就 是 说 ， 每 当 在 程序 内 部 调用 CreateProcessA() API 时 ，NewCreateProcessA() 就 会 被 调用 执 
行 ， 不 断 重 复 “ 脱 钩 ”/ 挂 钩 。 这 种 反复 进行 的 “脱钩 ”/ 挂 钩 操 作 不 仅 会 造成 整体 性 能 低下 ， 更 
严重 的 是 在 多 线程 环境 下 还 会 产生 运行 时 错误 ， 这 是 由 “脱钩 ”/ 挂 钩 操 作 要 对 原 API 的 前 5 个 字 
节 进 行 修改 ( 覆 写 ) 引起 的 。 

一 个 线程 尝试 运行 某 段 代码 时 ， 若 男 一 进程 正在 对 该 段 代 码 进行 “ 写 ” 操 作 ， 这 时 就 会 出 现 
冲突 ， 最 终 引发 运行 时 错误 。 所 以 我 们 需要 一 种 更 安全 的 API 钩 取 技 术 。 

提示 一 
( Windows 核心 编程 》 一 书 中 曾 指 出 , 运用 代码 修改 技术 钩 取 API 会 对 系统 安全 造 
成 威胁 。 


33.9.2 “ 热 补 丁 ”( 修 改 7 个 字 节 代码 ) 


使 用 “ 热 补 丁 ”( Hot Patch ) 技术 比 修改 5 个 字 节 代码 的 方法 更 稳定 ， 本 小 节 将 讲解 有 关 “ 热 
补丁 ”技术 的 内 容 。 
提示 
“ 热 补丁 ”对 应 的 英文 为 Hot Patch 或 Hot Fix, Kr 5 个 字 节 代码 的 技术 不 同 ， 
使 用 “ 热 补丁 ”技术 时 将 修改 7 个 字 节 代码 ， 所 以 该 技术 又 称 为 7 字 节 代码 修改 技术 。 





普通 API 起 始 代码 的 形态 
讲解 “ 热 补丁 ”技术 前 ， 先 看 看 常用 API 的 起 始 代码 部 分 (参考 图 33-16 至 图 33-19 )。 
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图 33-16  kernel32.CreateProcessA() 
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图 33-17  kernel32.LoadLibraryA() 











T?USOÜrES 
7TTDSB7ES 
?7TDS387E7 
770307E8 
770307E9 












7TD307EC - 





CMP DWORD PTR DS:[7705148C], 0 
JE SHORT USER32.77D3081C 


833D BC14DS77 00 





v 74 24 


770307F6 









77E27ER7 
7 了 FE27ERS 
7 了 7E27ERS 
T7E2TERR 















PUSH ESI 


图 33-19  gdi32.TextOutW() 


以 上 列 出 的 API 起 始 代码 有 如 下 2 个 明显 的 相似 点 : 

(1) API 代 码 以 “MOV EDLEDI” 指 令 开始 (IA-32 指 令 : Ox8BFF )。 

(2) API 代 码 上 方 有 5 个 NOP 指 令 (IA-32 指 令 : 0x90 )。 

MOVEDLEDI 指 令 大 小 为 2 个 字 节 , 用 于 将 EDI 寄 存 器 的 值 再 次 传送 到 EDI 寄 存 器 , 这 没有 什 
么 实际 意义 。NOP 指 令 为 1 个 字 节 大 小 ,不 进行 任何 操作 (NOPeration ) ( 该 NOP 指 令 存 在 于 函数 
与 函数 之 间 ， 甚 至 都 不 会 被 执行 )。 也 就 是 说 ，API 起 始 代码 的 MOV 指 令 (2 个 字 节 ) 与 其 上 方 的 
5 个 NOP 指 令 〈 5 个 字 节 ) 合 起 来 共 7 个 字 节 的 指令 没有 任何 意义 。 

很 显然 ，kernel32.dll、user32.dll、gdi32.dll 是 Windows OS 相当 重要 的 库 。 那 么 微软 到 底 为 什 
么 要 使 用 这 种 方式 来 制作 系统 库 呢 ?原因 是 为 了 方便 “ 打 热 补丁 ”"。“ 热 补丁 ”由 API 钩 取 组 成 ， 
在 进程 处 于 运行 状态 时 临时 更 改进 程 内 存 中 的 库 文件 (重启 系统 时 , 修改 的 目标 库 文件 会 被 完全 
取代 )。 

工作 原理 及 特征 

要 理解 “ 热 补丁 ” 钓 取 方法 的 核心 原理 ,需要 先 了 解 该 方法 的 2 种 特征 。 下 面 使 用 “ 热 补 
丁 ” 方 法 钓 取 图 33-16 中 的 kernel32.CreateProcessA() API, 借 此 理解 学 习 “ 热 补丁 ” 钓 取 的 技术 


原理 。 
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A. 二 次 跳 转 

首先 将 API 起 始 代码 之 前 的 5 个 字 节 修 改 为 FAR JMP 指 令 (E9 XXXXXXXXO), BE SII PA 
取 函 数 处 ( 10001000 )。 然 后 将 API 起 始 代码 的 2 个 字 节 修 改 为 SHORT JMP 指 令 (EB F9 )。 该 SHORT 
JMP 指 令 用 来 跳 转 到 前 面 的 FAR JMP 指 令 处 (参考 图 33-20 )。 


7 P 16 





SH EBP 
MOV EBP,ESP 

PUSH & 

PUSH DWORD PTR SS: LEBP*2CT 
PUSH DWORD PTR SS:[LEBP+281 
PUSH DWORD PTR SS: tEBP*241 
PUSH DWORD PTR SS:LEBP+201 
PUSH DWORD PTR SS: [EBP+1C] 
PUSH DWORD PTR SS: [EBP+18] 










SBEC 
6A a8 

FF?5 2C 
FF?5 28 
FF7S 24 
FF7S 20 
FF?5 1C 
FF7S 18 


图 33-20 (EH "XA*RT" BORfiCCreateProcessA() API 











调用 CreateProcessA() API 时 ， 遇 到 API 起 始 地 址 ( 7C80236B ) 处 的 JMP SHORT 7C802366 指 
令 ， 就 会 跳 转 到 紧 接 在 其 上 方 的 指令 地 址 (7C802366 )。 然 后 遇 到 JMP 10001000 指 令 ， 跳 转 到 实 
际 钓 取 的 函数 地 址 (10001000 )。 像 这 样 经 过 2 次 连续 跳 转 ， 就 完成 了 对 指定 API 的 钓 取 操作 (我 
将 这 种 技术 称 为 “二 次 跳 转 ” ， 其 优点 稍 后 介绍 ) 这 一 过 程 中 需要 注意 的 是 ,我 们 修改 的 7 个 字 
节 的 指令 (NOP *5, MOV EDLEDI ) 原来 都 是 毫 无 意义 的 。 

提示 一 
从 图 33-20 中 的 7C802366、7C80236B 地 址 可 以 看 到 ， 虽 然 都 是 JMP 指令 ， 但 指 
令 形 态 不同 。7C802366 地 址 处 的 指令 形式 为 E9 XXXXXXXX， 大 小 为 5 个 字 节 ， 被 称 
为 FAR JMP， 用 来 实现 远程 跳 转 ( 可 以 跳 转 到 进程 内 存 用 户 区 域 中 的 任意 位 置 ); 而 
7C80236B 地 址 处 的 指令 形式 为 EB YY， 大 小 为 2 个 字 节 ， 被 称 为 SHORT JMP， 它 只 
能 以 当前 EIP 为 基准 , 在 -128~127 范围 内 跳 转 。IA-32 指令 中 有 些 相同 指令 拥有 不 同 指 
令 形 态 ，IA-32 指令 的 解析 方法 请 参考 第 49 章 。 








若 使 用 前 面 介 绍 的 5 字 节 代码 修改 方法 修改 起 始 地 址 的 5 个 字 节 ， 使 执行 跳 转 到 
钩 取 函数 处 ， 具 体 修 改 如 图 33-21 所 示 。 请 比较 该 图 与 图 33-20。 





FF?S 2C PUSH DWORD PTR SS: [EBP+2C] 








FF?5 28 PUSH DWORD PTR SS: [EBP+28] 
FF75 24 PUSH DWORD PTR SS:[EBP*241 
FF?5 20 PUSH DWORD PTR SS: LEBP*201 


图 33-21 5 字 节 代码 修改 法 





B. 不 需要 在 钩 取 函 数 内 部 进行 “ 脱 钓 ”/ 挂 钓 操 作 

前 面 讲解 过 修改 代码 的 前 5 个 字 节 进行 钩 取 的 技术 ， 使 用 时 需要 在 钩 取 函 数 NewCreate- 
ProcessA(O 内 部 反复 “脱钩 ”/ 挂 钩 ， 这 可 能 导致 系统 稳定 性 下 降 。 f 

MEH “MO J” BURTABOAPINI, Aa EE RRN Xt "BEA" ERE TESÓE 
节 代 码 修改 技术 中 “脱钩 ”/ 挂 钧 是 为 了 “调用 原 函 数 "， 而 使 用 “ 热 补 本 ”技术 钩 取 API 时 ， 在 
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API 代 码 遭 到 修改 的 状态 下 也 能 正常 调用 原 API。 这 是 因为 ， 从 API 角 度 看 只 是 修改 了 其 起 始 代码 
的 MOVEDLEDI 指 令 ( 无 意义 的 2 个 字 节 ), 从 [API 起 始 地 址 +2] 地 址 开始 , 仍然 能 正常 调用 原 APL， 
上 且 执 行 的 动作 也 完全 一 样 。 

以 Kernel32.CreateProcessA(0) 为 例 ， 从 图 33-16 所 示 的 原 API 起 始 地 址 (7C80236B ) 开始 执行 ， 
与 从 图 33-20 中 的 [API 起 始 地 址 +2] 地 址 (7C80236B ) 开始 执行 ， 结 果 完 全 一 样 。 由 于 钧 取 函 数 中 
去 除了 “ 脱 钧 ”/ 挂 钧 操作 ， 在 多 线程 环境 下 使 API 钓 取 变 得 稳定 。 这 正 是 二 次 跳 转 的 优势 所 在 。 


33.10 ”练习 #3: stealth3.dll 


stealth3.dll 文 件 中 使 用 了 “ 热 补 丁 ”API 钓 取 技 术 ， 下 面 用 它 练习 ， 如 图 33-22 所 示 。 





B SEA: C:\Windows\System32\cmd.exe 

















图 33-22 ”stealth3.dll 练 习 ( 隐藏 ) 
练习 方法 与 stealth2.dll 一 样 。 先 把 stealth3.dll 文 件 复制 到 %SYSTEM% 文 件 夹 ， 然 后 在 命令 行 
窗口 运行 HideProc2.exe 命 令 ， 如 图 33-22 所 示 ( 操作 步骤 与 练习 2 的 步骤 1~4 相 同 )。 由 于 
HideProc2.exe 命 令 未 做 改动 ， 像 之 前 一 样 使 用 就 可 以 了 ( 隐藏 notepad.exe 进 程 的 行为 是 相同 的 )。 
提示 
练习 示例 在 Windows XP SP3& Windows 7 (32 位 ) 系统 环境 中 通过 测试 





33.11. 源 代码 分 析 

下 面 分 析 stealth3.cpp 源 代码 ， 内 容 大 致 与 stealth2.cpp 类 似 ， 主 要 看 与 实施 “ 热 补丁 ”技术 相 
关 的 代码 。 
stealth3.cpp 


hook by hotpatch() 
首先 分 析 hook_by_hotpatch0 函 数 ， 它 运用 “ 热 补丁 ”技术 钧 取 API。 
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代码 33-9 hook by hotpatch() 


BOOL hook by hotpatch(LPCSTR szDllName, LPCSTR szFuncName, PROC pfnNew) 


{ 


FARPROC pFunc; 

DWORD dwOldProtect, dwAddress; 
BYTE pBuf[5] = { 0xE9, 0, ); 
byte pBuf2[2] = { OxEB, OxF9 }; 
PBYTE pByte; 


pFunc = (FARPROC)GetProcAddress (GetModuleHandleA(szDllName), 
szFuncName) ; 
pByte = (PBYTE)pFunc; 
if( pByte[0] == OxEB ) 
return FALSE; 


VirtualProtect((LPVOID)((DWORD)pFunc-5), 7, PAGE EXECUTE READWRITE, 
&dwOldProtect); 


// 1. NOP (0x90) 

dwAddress = (DWORD)pfnNew- (DWORD)pFunc; 
memcpy(&pBuf[1], &dwAddress, 4); 

memcpy ( (LPVOID)((DWORD)pFunc-5), pBuf, 5); 


// 2. MOV EDI, EDI (Ox8BFF) 
memcpy(pFunc, pBuf2, 2); 


VirtualProtect((LPVOID)((DWORD)pFunc-5), 7, dwOldProtect, 
&dwOldProtect); 


return TRUE; 


使 用 “ 热 补丁 ”技术 钧 取 API 时 ， 操 作 顺 序 非常 重要 。 首 先 要 将 API 起 始 地 址 上 方 的 NOP*5 


人 修改 为 JMP XXXXXXXX。 通 过 下 面 公 式 很 容易 求 出 XXXXXXXX 值 ( 即 上 述 代 码 中 的 


指令 


dwAddress 变 量 )， 计 算 公式 如 下 所 示 : 


dwAddress = (DWORD)pfnNew-(DWORD)pFunc; 
提示 
上 述 公 式 与 前 面 讲解 hook by_code0 函 数 时 介绍 的 地 址 计算 公式 实际 是 一 样 的 。 
XXXXXXXX = 要 跳 转 的 地 址 — 当前 指令 地 址 - 当前 指令 长 度 (5) 
当前 指令 (NOP *5) 地 址 =pFunc 一 5， 所 以 上 述 公 式 可 做 如 下 修改 : 
XXXXXXXX = (DWORD)pfnNew - ((DWORD)pFunc - 5) -5 
= (DWORD)pfnNew - (DWORD)pFunc 
*pfnNew = Jf] P AP i dic 
*pFunc = /# API 地址 


求 得 XXXXXXXX 值 后 ， 使 用 下 述 代 码 将 NOP *5 指 令 (5 个 字 节 大 小 ) 替换 为 JMP 


XXXXXXXX 指 令 。 


memcpy(&pBuf[1], &dwAddress, 4); 
memcpy ( (LPVOID)((DWORD)pFunc-5), pBuf, 5); 


接 下 来 ， 将 位 于 API 起 始 地 址 处 的 MOV EDI,EDI 指 令 (2 个 字 节 大 小 ) 替换 为 JMP YY 指令 。 


memcpy(pFunc, pBuf2, 2); 


33.1] 源 代码 分 析 355 


提示 

使 用 JMP YY 指令 时 ， 要 先 计算 出 YY 值 ， 计 算 公 式 与 前 面相 同 。 

YY= 要 跳 转 的 地 址 — 当前 指令 地 址 -当前 指令 长 度 (2) 

要 跳 转 的 地 址 是 pFunc -5， 当 前 指令 地 址 为 pFunc, YY 值 计算 如 下 : 

YY = (pFunc — 5)-pFunc — 2 = —7 =0xF9 

“ART” ARP, YY 值 总 为 0xF9， 将 其 硬 编码 到 源 代 码 就 可 以 了 (OxF9 是 -7 
的 “2 的 补 码 ” 和 形式 )。 





unhook_by_hotpatch() 
接 下 来 分 析 unhook_by_hotpatch() 函 数 ， 它 在 “ 热 补 丁 ” 技 术 中 用 来 取消 API 钧 取 操 作 。 


代码 33-10 ”unhook_by_hotpatch() : 


BOOL unhook by hotpatch(LPCSTR szDllName, LPCSTR szFuncName) 


{ 


FARPROC pFunc; 

DWORD dwOldProtect; 

PBYTE pByte; 

byte pBuf[5] = ( 0x90, 0x90, 0x90, 0x90, 0x90 }; 
byte pBuf2[2] = ( 0x8B, OxFF }; 


pFunc = (FARPROC)GetProcAddress (GetModuleHandleA (szDllName), 
szFuncName) ; 
pByte = (PBYTE)pFunc; 
if( pByte[0] !- OxEB ) 
return FALSE; 


VirtualProtect((LPVOID)pFunc, 5, PAGE EXECUTE READWRITE, 
&dwOldProtect); 


// 1. NOP (0x90) 
memcpy ( (LPVOID) ((DWORD)pFunc-5), pBuf, 5); 


// 2. MOV EDI, EDI (0x8BFF) 
memcpy(pFunc, pBuf2, 2); 


VirtualProtect((LPVOID)pFunc, 5, dwOldProtect, &dwOldProtect); 


return TRUE; 


上 述 代码 用 来 将 修改 后 的 指令 恢复 为 原来 的 NOP*5 与 MOV EDI,EDI 指 令 。“ 热 补丁 ”技术 中 


这 些 指 令 都 是 固定 不 变 的 ， 所 以 可 以 将 它们 硬 编码 到 源 代 码 。 


NewCreateProcessA() 


Fifi PLFH P £3RGRAENewCreateProcessA() « 


代码 33-11 和 修改 后 的 NewCreateProcessA() 
BOOL WINAPI NewCreateProcessA( 


LPCTSTR lpApplicationName, 

LPTSTR lpCommandLine, 

LPSECURITY ATTRIBUTES lpProcessAttributes, 
LPSECURITY ATTRIBUTES lpThreadAttributes, 
BOOL bInheritHandles, 

DWORD dwCreationFlags, 

LPVOID lpEnvironment, 

LPCTSTR lpCurrentDirectory, 

LPSTARTUPINFO lpStartupInfo, 
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LPPROCESS INFORMATION lpProcessInformation 


— 


{ 

BOOL bRet; 

FARPROC pFunc; 

// 调 用 原始 API 

pFunc = GetProcAddress(GetModuleHandleA(“kernel32.dll”), 

“CreateProcessA”); 

pFunc = (FARPROC) ( (DWORD)pFunc + 2); 

bRet = ((PFCREATEPROCESSA) pFunc) (1pApplicationName, 
lpCommandLine, 
lpProcessAttributes, 
lpThreadAttributes, 
bInheritHandles, 
dwCreationFlags, 
lpEnvironment, 
lpCurrentDirectory, 
lpStartupInfo, 
lpProcessInformation); 

”// 向 生成 的 子 进程 注入 Stealth2.dll 
if( bRet ) 
InjectDll2(lpProcessInformation->hProcess, STR MODULE NAME); 
return bRet; 
} 


从 上 述 代码 中 可 以 看 到 ， 不 再 调用 unhook by code()' hook by _ code 函数 ， 且 与 已 有 函数 根 
本 的 不 同 在 于 添加 了 计算 pFunc 的 语句 ， 如 下 所 示 : 


pFunc=(FARPROC)((DWORD)pFunc+2); 
该 代码 语句 用 于 跳 过 位 于 API 起 始 地 址 处 的 JMP YY 指令 ( 2 个 字 节 , 原 指令 为 MOV EDILEDI)， 
从 紧 接 的 下 一 条 指令 开始 执行 ， 与 调用 原 API 的 效果 一 样 。 
33.12 ”使 用 “ 热 补 本 ”API 钩 取 技术 时 需要 考虑 的 问题 


令 人 遗憾 的 是 ， 这 么 优越 的 “ 热 补 丁 ”API 钓 取 技 术 也 不 是 万 能 的 ， 使 用 时 目标 API 必 须 满 
足 它 的 适用 条 件 (NOP *5 指 令 +MOV EDILEDI 指 令 ), 但 是 有 些 API 却 不 能 满足 这 些 条 件 ( 参考 图 
33-23 、 图 33-24 )。 






PCSBIEED 
TCSOIEEE 
7C8SB1EEF 
aIEFG 





NOP 











PUSH kernel32.7C812FB8 

CALL kerne132.7C8024D6 

MOU ERX,DWORD PTR FS: [18] 
MOU EAX, DWORD PTR DS:[ERX+301 





e 
?CSBI1EF9 
TCSB1EFE 
7C891F64 


图 33-23 ”难以 使 用 “ 热 补 丁 ”API 钧 取 技 术 : kernel32.GetStartInfoAQ 












ES D8858888 
64:R1 1800008 
8840 30 











B8 PD000008 |MOU EAX, AAD 






?C930918 ntdll.ZuQuersSustemlnformation 


7C93D915 BR 656693FE7F |MOV EDX,7FFEB366 
7C93D91R FF12 CALL DWORD PTR DS:[EDX] 
PC33D31C c2 1000 RETN 16 
7C93091F 5a NOP 
7TC93D928 ntdil.ZwĝuerySystemTine BS RE000000 |MOU EAX, OAE 
7C330925 BR 6653FE7F |MOU EDX, 7FFE0300 
?7C98D92H FF12 CALL DWORD PTR DS: [EDX] 
?C93092C c2 0400 RETH 4 
7C99D32F 99 NOP 
BS RF000000 |MOU EAX, BAF 
BR 8693FE7F |HOU EDX, 7FFE0300 
FF12 CALL DWORD PTR DS:[EDX] 
C2 1400 RETN 14 
sa NOP 


B8 B0000000 |MOU EAX, 0B 
BA GBOSFETF |MOU EDX, 7FFE0300 
FF12 CALL DWORD PTR DS: CEDX] 











?C33094C c2 acean RETN oc 
7C93094F 9n NOP 


图 33-24 ”无 法 使 用 “ 热 补 本 ”API 钩 取 技术 : ntdll.dll 提 供 的 API 


并 非 所 有 API 都 能 使 用 “ 热 补 丁 ”API 钧 取 技 术 , 所 以 使 用 前 先 确 认 要 钧 取 的 API 是 否 支持 它 。 
若 不 支持 ， 则 要 使 用 前 面 介绍 过 的 5 字 节 代码 修改 技术 。 

提示 —— —— —  ———————-." 
Ntdll.dll 中 提供 的 API 代码 都 较 短 , 钓 取 这 些 API 时 有 一 种 非常 好 的 方法 , 使 用 这 
种 方法 时 先 将 原 API 备份 到 用 户 内 存 区 域 ， 然 后 使 用 5 字 节 代码 修改 技术 修改 原 API 
的 起 始 部 分 。 在 用 户 钩 取 函数 内 部 调用 原 API 时 ， 只 需 调用 备份 的 API 即 可 ， 这样 实 
现 的 API 钓 取 既 简单 又 稳定 。 由 于 Ntdll.dll API 代码 较 短 ， 且 代码 内 部 地 址 无 依赖 性 ， 
所 以 它们 非常 适合 用 该 技术 钓 取 API 


33.13 ”小结 


通过 修改 API 代 码 钓 取 API 技 术 的 讲解 到 此 结束 。 讲 解 技 术 的 核心 内 容 时 用 的 篇 幅 较 多 。 各 
位 阅读 学 习 时 不 要 死记 硬 背 , 要 把 重点 放 在 对 技术 原理 的 理解 上 。 学 完 本 章 以 及 下 一 章 要 介绍 的 
全 局 API 钓 取 内 容 ， 就 能 够 完全 掌握 API 钓 取 技 术 。 


. 运行 hideproc.exe 程 序 0.5 秒 后 自动 终止 ， 为 什么 会 这 样 ? 

.hideproc.exe 进 程 完成 所 有 工作 后 会 自动 终止 退出 ,程序 就 是 这 样 编写 的 。 若 任务 管理 器 
中 看 不 到 notepad.exe 进 程 ， 就 表示 执行 成 功 。 

. 执行 HideProc.exe -hide abc.exe di:\stealth.dll 命 令 ， 结 果 出 现 如 下 注入 失败 信息 : 
OpenProcess3976 failed!!! OpenProcess4040 failed!!! 为 什么 注入 会 失败 呢 ? 


. Windows Vista/7 中 使 用 了 会 话 隔离 技术 ， 这 可 能 导致 DLL 注入 失败 。 出 现 这 个 问题 时 ， 
不 要 使 用 kernel32.CreateRemoteThread()， 而 使 用 ntdll.NtCreateThreadEx() 就 可 以 了 。 相 关 
内 容 请 参考 Session in Windows 7 中 的 说 明 。 有 时 开启 杀毒 软件 自身 的 进程 保护 功能 也 会 
导致 DLL 注 入 失败 。 此 外 ， 尝 试 向 PE32+ 格 式 的 进程 注入 PE32 格 式 的 DLL 时 ， 也 会 失败 
(反之 亦 然 )。 注 入 时 必须 保证 要 注入 的 DLL 文件 与 目标 进程 的 PE 格式 一 致 (PE32+ 格 式 
zt Windows 64 位 OS 使 用 的 可 执行 文件 格式 )。 
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Q. 要 隐藏 的 进程 在 任务 管理 器 的 “进程 ”选项 卡 中 消失 了 ， 但 在 “应 用 程序 ”选项 卡 中 仍 


A. 


然 可 见 ， 且 程序 窗口 也 依然 可 见 。 如 何 把 程序 窗口 也 一 起 隐藏 起 来 呢 ? 

是 的 ， 若 只 在 进程 列表 中 实现 了 进程 隐藏 ， 则 程序 窗口 仍然 可 见 。 若 将 程序 窗口 也 一 起 
隐藏 起 来 ， 则 在 任务 管理 器 的 “应 用 程序 ”选项 卡 中 也 消失 不 见 。 正 文 示例 的 代码 只 是 
为 了 钩 取 API， 对 程序 的 窗口 并 未 作 任 何 处 理 (程序 窗口 确实 存在 , 但 是 进程 却 消失 不 见 
了 ， 我 也 有 意 让 各 位 看 看 这 个 现象 )。 就 像 隐形 战斗 机 ， 隐 形 并 不 是 指 用 肉眼 看 不 到 它 ， 
而 是 仅 指 用 雷达 探测 不 到 它 。DLL 文 件 注入 目标 进程 后 ， 只 要 调用 与 窗口 隐藏 相关 的 API 
即 可 轻松 隐藏 程序 窗口 ( SetWindowPos(),MoveWiondow() 等 )。 


. 除了 前 面 介绍 过 的 5 字 节 修改 方法 之 外 ， 还 有 其 他 钧 取 API 的 方法 吗 ? 在 钧 取 函 数 中 反复 


进行 “脱钩 ”/ 挂 钧 操作 显得 相当 麻烦 啊 ! 


. 我 介绍 的 5 字 节 修改 方法 适用 范围 较 广 ， 一 般 情 况 下 也 运行 得 非常 好 。 除 此 之 外 ， 还 有 7 


字 节 修改 方法 ， 在 钧 取 函 数 中 也 不 需要 进行 “脱钩 ”/ 挂 钧 操作 。 但 并 不 适用 于 所 有 API， 
特别 是 ntdll.dll 提 供 的 原生 ( native ) API 就 无 法 使 用 7 字 节 修改 技术 。 关 于 7 字 节 “ 热 补丁 ” 
技术 的 内 容 请 参看 前 面 正 文 。 此 外 还 有 一 种 方法 是 , 将 API 代 码 全 部 拷贝 到 其 他 地 方 , 但 
是 这 需要 处 理 好 重 定位 的 问题 ( 该 方法 非常 适用 于 ntdll 的 原生 API， 因 为 这 些 API 的 代码 
都 比较 简短 )。 总 之 ， 从 应 用 范围 以 及 简便 性 方面 考虑 ，5 字 节 修 改 技术 是 首选 。 


. 使 用 全 局 钧 取 技 术 注 入 dll 文 件 时 会 不 会 给 系统 带 来 很 大 负担 昵 ? 所 有 进程 在 创建 的 时 候 


都 要 注入 dll， 那 么 内 存 使 用 量 会 大 幅 顽 升 吧 ? 


. 首先， 任何 钓 取 操作 都 会 给 系统 带 来 一 定 负 担 。 编 写 程序 时 车 能 巧妙 运用 一 些 手法 ， 则 


可 以 将 这 种 对 系统 的 影响 降 到 最 低 ， 不 会 有 什么 问题 ， 但 一 定 要 充分 考虑 好 系统 稳定 性 
与 资源 利用 问题 向 所 有 进程 注入 DLL 时 ,内存 使 用 量 也 会 随 之 增加 , 但 并 不 是 以 “DLL 
尺寸 * 注 入 进程 的 个 数 增加 。Windows 中 ， 相 同 DLL 只 要 加 载 到 内 存 中 1 次 即 可 ， 进程 通 
过 映射 技术 使 用 它 。 简 言 之 ， 通 过 映射 技术 将 代码 映射 到 相同 内 存 ， 即 代码 区 对 所 有 进 
程 都 是 一 样 的 ， 而 数据 区 则 要 根据 相应 进程 重新 创建 。 





第 34 章 ”高 级 全 局 API| 钧 取 : | 连接 控 :和 | 


本 章 将 学 习 更 高 级 的 全 局 API 钓 取 技 术 ， 在 示例 中 我 们 将 钧 取 正 ， 使 其 试图 连接 到 指定 网 站 
时 转 而 连接 到 我 的 博客 。 

练习 目标 是 钧 取 匡 进程 的 API， 在 它 连 接 到 特定 网 站 的 过 程 中 ， 将 其 连接 到 其 他 网 站 。 无 论 
是 在 下 地 址 栏 中 直接 输入 地 址 还 是 点 击 某 个 链接 ， 正 都 无 法 连接 到 被 阻止 的 网 站 ( 把 这 当 作 拦截 
恶意 网 页 功能 就 比较 容易 理解 )。 

UE — T Ñ 
在 防火 墙 层面 实现 恶意 网 页 拦截 功能 会 更 有 效果 。 本 章 示 例 仅 供 学 习 之 用 ， 在 实 
际 产 品 开发 中 实现 恶意 网 页 拦截 功能 时 要 充分 考虑 这 一 点 。 


34.1 目标 API 


API 钓 取 的 核心 就 是 选择 目标 API， 即 要 钧 取 的 API， 每 个 人 在 这 一 过 程 中 都 有 各 自 不 同 的 绝 
招 。 程 序 开发 经 验 越 丰 富 、API 钓 取经 验 越 多 ， 对 选择 目标 API 就 越 有 利 ( 当然 ， 通 过 强大 的 网 
络 检索 功能 也 能 解决 大 部 分 问题 )。 开 始 前 先 大致 “猜测 ” 一 下 ， 只 要 钩 取 套 接 字库 ( ws2 . 32.dll ) 
或 微软 提供 的 网 络 访问 相关 库 ( wininet.dll, winhttp.dll) 就 可 以 了 ( 钩 取 后 者 更 容易 )。 

下 面 运行 正 进行 分 析 。 首 先 使 用 Process Explorer 查 看 正 加 载 了 哪些 DLL。 

从 图 34-1 可 以 看 到 ， 正 不 仅 加 载 了 ws2_32.dll， 还 加 载 了 wininet.dll 库 。Wininet.dll 提 供 的 API 
中 有 个 名 为 InternetConnect() 的 API ( 出 处 : MSDN )， 顾 名 思 义 ， 该 API 用 来 连接 某 个 网 站 。 
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;SrstsaST wanipe dii 

















图 34-1 ”正中 加 载 的 库 
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HINTERNET InternetConnect( 
. in HINTERNET hInternet, 
|» in LPCTSTR lpszServerName, // 要 连接 的 URL 
__ in INTERNET PORT nServerPort, 
__ in LPCTSTR lpszUsername, 
in LPCTSTR lpszPassword, 
.in DWORD dwService, 
in DWORD dwFlags, 
in DWORD PTR dwContext 


接 下 来 验证 Wininet.InternetConnect() APIE TME 44] [A APT, 


验证 : 调试 IE 进程 


首先 使 用 OllyDbg 附 加 正 进 程 ( PID: 3484=0xD9C )， 然 后 在 wininetl!InternetConnectW() API 
处 设置 好 断 点 ( InternetConnectW() API 是 InternetConnect() 的 宽 字 符 版 本 )， 如 图 34-2 所 示 。 


75030434 ER PUSH EBP 








76030495 8B MOU EBP, ESP 

76030437 S3EC 28 SUB z 

r6D9849n 53 PUSH EBX 

76030498 3308 XOR EBX, EBX 

76030490 895D EO MOU DUORD PTR SS:CEBP=20], EBX 
76030400 895D D MOU DWORD PTR SS:LEBP-241,EBX 
76D304A3 8950 D8 MOU DWORD PTR SS;:LEBP-281,EBX 
76020406 895D EC MOU DWORD PTR SS; [EBP-14], EBX 
76080449 8950 ES MOU DWORD PTR SS: [EBP-18],EBX 
76D8948C 89SD E4 MOU DMORD PTR SS:[EBP-1C1],EBX 
75D394RF 895D F4 MOU DWORD PTR SS:LEBP-C1, 
76020482 895D FC MOU DWORD PTR SS:[EBP-4], EBX 
76080485 895D F8 MOU DWORD PTR SS:[EBP-81,EBX 
76020488 895D FØ MOU DWORD PTR SS: LEBP-181,EBX 
76D804BB 395D BC CHP DWORD PTR SS:LEBP+C1,EBX 
PEDS84BE v BF34 BRDE8368 | JE 76DBE2CE 


图 34-2 ”在 WININET.InternetConnectW0 处 设置 断 点 


然后 在 下 地址 栏 中 输入 要 连接 的 网 站 地 址 ， 如 图 34-3 所 示 。 


G< = = 


XHA RSE EEV BERA) IAM #Bh(H) 
d [SERE w E) RERSIREE > 





NEW 






































== = 


图 343 全 地址 栏 — 
调试 器 暂停 在 设置 的 断 点 处 ， 此 时 查看 进程 栈 ， 如 图 34-4 所 示 。 









0099000909 
888666B 
586865563 


8090080900 
00467590 







图 34-4” 断 点 位 置 的 栈 


从 栈 信 息 中 可 以 看 到 ， 连 接地 址 (1lpszServerName ) 就 是 前 面 在 下 地址 栏 中 输入 的 
www.google.com 地 址 。 下 面 修 改 连接 地 址 进行 测试 。 
如 图 34-5 所 示 ， 将 “www.google.com” 修 改 为 “www.reversecore.com” 字 符 串 。 
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图 34-5 ”修改 连接 地 址 


上 面 地 址 全 为 Unicode 字符 串 ， 最 后 以 2 个 字 节 的 NULL (0000) 结束 (在 HEX 
窗口 中 向 字符 串 末 尾 输 入 00 00 即 可 )。 








修改 连接 地 址 后 运行 调试 器 ， 它 会 在 设置 断 点 的 wininetlInternetConnectW0 处 反复 暂停 ， 这 
是 因为 一 个 网 站 往往 由 多 个 链接 地 址 组 成 。 删 除 断 点 后 继续 运行 ( 仅 在 第 一 次 调用 
InternetConnectW0O 时 操作 一 次 栈 即 可 )。 最 终 ， 正 浏览 器 会 连接 到 修改 后 的 www.reversecore.com 
网 站 ， 而 不 是 先前 的 www.google.com 网 站 ， 如 图 34-6 所 示 。 





XHA RSE ESV) VEZA) ISM #Eh(H) 
建议 网 站 Y BIRMEESUEY 














图 34-6 ”连接 到 修改 后 的 网 站 


因此 , £i wininet!InternetConnectW()/ri , 修改 jpszServerName 人 参数 即 可 控制 正 要 连接 的 网 站 。 
AK, fH InternetConnectW() API 是 个 非常 好 的 选择 。 原 理 相当 简单 ， 因 为 正 使 用 wininet.dll 库 ， 
所 以 很 容易 钩 取 API。 以 上 这 些 就 是 常用 的 API 钩 取 方 法 ,但 具体 实现 时 有 一 点 需要 考虑 ，IE 8 具 
有 独特 的 进程 结构 ， 钩 取 时 要 使 用 全 局 API 钩 取 技术 。 


34.2 IE 进程 结构 
重新 运行 耻 浏 览 器 ， 打 开 多 个 选项 卡 〈tab )， 分 别 连接 到 不 同 网 站 ， 如 图 34-7 所 示 。 
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图 34-7 IE 选项 卡 


使 用 Process Explorer 查 看 IE 进程 结构 ， 如 图 34-8 所 示 。 













f. mm Q o memar x ae | | 








Process PID CPU Path 
图 E System Idle Process 0 99,34 
csrss, exe 352 CWindowsWSystem32Wcesrss,exe 
|| @ [o] wininitexe C'wwindowswSystem32wwininit.exd 
| csrss.exe CWWIndowsW System32Wwcesrss,exe 
| a winlogon,exe C WindowsWSystem329^winlogon, 


d. 











图 34-8 ”iexploer.exe 进 程 结构 
从 图 34-7 与 图 34-8 中 可 以 看 到 ，IE 中 有 7 个 选项 卡 ， 共 有 5 个 下 进程 ( iexplore.exe ) 在 运行 。 


并 且 PID 为 3784 的 iexplore.exe 进 程 与 其 他 iexplore.exe 进 程 形 成 了 父子 关系 。 从 下 进程 结构 来 看 ， 
IE 应 用 程序 为 父 进 程 (PID: 3784 )， 它 管理 着 各 选项 卡 对 应 的 子 进程 。 


提示 


IE 7 开始 引入 “选项 卡 ” 这 一 概念 ， 进 程 结构 也 发 生 了 如 上 所 示 的 变化 。 这 种 新 
进程 结构 下 ， 每 个 选项 卡 都 是 一 个 独立 运行 的 进程 ， 其 中 一 个 选项 卡 发 生 错 误 ， 不 会 
影响 到 其 他 选项 卡 或 父 进程 (IE 本 身 ) (最 新 的 网 页 浏览 器 中 都 使 用 了 这 项 技术 )。 


像 这 样 ， 正 应 用 程序 中 每 个 选项 卡 对 应 的 子 iexplore.exe 进 程 实际 负载 网 络 连 接 ， 创 建 选项 卡 
进程 时 ，( 相关 进程 的 ) API 就 会 被 执行 钧 取 操 作 ， 即 采用 全 局 API 钧 取 技 术 钧 取 。 否 则 ， 在 新 选 
项 卡 中 连接 网 站 时 将 无 法 钓 取 。 前 面 我 们 介绍 了 通过 钧 取 kernel32!CreateProcess() API 实 现 全 局 
API 钩 取 的 方法 ， 并 且说 明了 使 用 CreateProcess() API 钩 取 这 一 方法 的 限制 条 件 。 

本 章 将 介绍 一 种 更 安全 、 更 方便 的 全 局 API 钩 取 方 法 ， 采 用 该 方法 可 有 效 消除 因 使 用 
CreateProcess() API 钩 取 技 术 实现 全 局 API 钩 取 而 产 生 的 不 便 。 这 种 新 方法 是 ， 钧 取 ntdlll 
ZwResumeThread() API， 创 建 进程 之 后 ， 主 线程 被 Resume ( 恢复 运行 ) 时 ， 可 以 钩 取 目 标 API。 


34.3 ”关于 全 局 API 钧 取 的 概念 
下 面 对 全 局 API 钩 取 进 行 简单 整理 。 通 过 前 面 的 学 习 ， 我 们 已 经 能 对 特定 进程 的 指定 API 进 
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行 简单 的 钩 取 操作 。 
34.8.1 ”常规 API 钓 取 


使 用 常规 API 钓 取 方 法 时 ,每 当 ( 要 钩 取 的 ) 目标 进程 被 创建 时 ,都 要 钧 取 指 定 API。 图 34-9 
描述 了 通过 DLL 注 入 技术 实施 常规 API 钧 取 操 作 的 情形 。 


Explorer.exe 






injDll.exe 








—— 


InjDlLexe 





图 34-9 ”常规 API 钓 取 

图 34-9 中 要 钩 取 的 目标 进程 为 Test.exe( PID:2492 ), 使 用 InjDll.exe 程 序 将 Hook.dll 注 人 Test.exe 
进程 ,然后 钧 取 指 定 APIQ。 车 后 面 生 成 了 另外 一 个 Test.exe 进 程 (PID: 3796 )， 则 必须 先 向 它 注 
人 Hook.dl 才 能 ( 对 PID 为 3796 的 进程 ) 实现 正常 的 API 钧 取 操 作 @。 也 就 是 说 ， 每 当 要 钧 取 的 目 
标 进程 生成 时 都 要 手动 钩 取 API。 


34.3.2 全 局 API 钧 取 
接 下 来 看 一 下 全 局 API 钩 取 的 操作 过 程 ， 如 图 34-10 所 示 。 


Explorer.exe 
s InjDIl.exe 





id 


图 34-10 ”全 局 API 钩 取 


InjDll.exe 负 责 将 gHook.dll 注 和 人 Explorer.exe 进 程 ( Windows 操 作 系 统 的 基本 Shell )。 请 注意 ， 
我 们 要 钧 取 的 进程 不 是 Test.exe， 而 是 启动 运行 Test.exe 的 Explorer.exe 进 程 ， 这 是 最 核心 的 部 分 。 
gHook.dll 扩 展 了 图 34-9 中 Hook.dll 的 功能 , 它 钓 取 创建 子 进程 的 API, 每 当 子 进程 被 创建 时 ， 它 都 
会 将 自身 ( gHook.dll ) 注 入 新 创建 的 进程 ( 参考 图 34-10 ). 所 以 向 Explorer.exe 进 程 ( Windows Shell ) 
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注入 1 次 gHook.dll 后 , 随后 Explorerexe 创 建 的 所 有 子 进程 都 会 自动 注入 gHook.dll。 这 就 是 自动 API 
钩 取 的 基本 概念 ， 将 这 一 概念 扩展 应 用 到 系统 中 运行 的 所 有 进程 ， 就 形成 了 全 局 API 钩 取 。 

ES ——————————— Hit — 
除 Explorer.exe 之 外 ,其 他 进程 也 可 以 创建 子 进程 ,所 以 要 完美 实现 全 局 API 钩 取 ， 
必须 钓 取 当前 运行 的 所 有 进程 。 但 是 基于 系统 稳定 性 与 减少 不 必要 系统 开销 的 考虑 ， 
常常 (根据 实际 要 求 ) 仅 钓 取 特 定 进程 (示例 中 对 下 的 钓 取 就 是 典型 例子 ), 


到 此 我 们 已 经 梳理 了 全 局 API 钧 取 的 概念 。 下 面 分 析 钧 取 哪 些 API 才 能 使 全 局 API 钩 取 实 现 起 
来 更 容易 。 


34.4 ntdlllZwResumeThread() API 


首先 ， 想 想 创建 子 进程 的 API 有 哪些 ,创建 进程 的 API 中 最 具 代 表 性 的 绝对 是 
kernel32!CreateProcess() API, 下 面 编写 一 个 简单 的 程序 来 测试 CreateProcess( API, 代码 如 下 所 示 。 

可 太一 
所 有 源 代码 均 使 用 MS Visual C++ Express Edition 2010 工具 编写 而 成 ， 在 Windows 
7324 & IE 8 中 通过 测试 。 





代码 34-1 cptest.cpp 


// cptest.cpp 


#include “windows.h” 
#include "tchar.h" 
void main() 


{ 

STARTUPINFO si = {0,}; 

PROCESS INFORMATION pi = {0,}; 

TCHAR szCmd[MAX PATH] = {0,}; 

si.cb = sizeof(STARTUPINFO); 

_tcscpy(szCmd, L”notepad.exe”); 

if( !CreateProcess(NULL, // LpAppLicationName 
szCmd, // LpCommandLine 
NULL, // LpProcessAttributes 
NULL, // LpThreadAttributes 
FALSE, // bInheritHandles 
NORMAL PRIORITY CLASS, // dwCreationFlags 
NULL, // lpEnvironment 
NULL, // lpCurrentDirectory 
&si, // VipStartupInfo 
&pi) ) // ipProcessInformation 

return; 
if( pi.hProcess !- NULL ) 
CloseHandle(pi.hProcess); 
) 


编译 代码 34-1， 生 成 cptest.exe 可 执行 文件 。 调 试 这 个 文件 可 以 把 握 与 进程 创建 相关 的 API 调 
用 流程 。 
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提示 





CreateProcessW X€ CreateProcess 的 宽 字 符 (UNICODE ) 版 本 。 


图 34-11 是 调用 cptest.exe 的 kernel32!CreateProcessW() 的 代码 。 


pm FRAN ,DWORD PTR SS:[ESP] 
LER ECR. DWORD PTR SS:CESP+14] 





00401074 
00401077 
pa40107ë 
PO: pum 


















800424 

sa 

8D4C24 14 
51 


pProcesslnfo = 8812FCE4 


pStartupInfo = 0012FCF4 

CurrentDir = NULL 

pEnvironment = NULL 

CreationFlags = ROR LPR TORII CLASS 
InheritHandles = FALSE 

pThreadSecurity = NULL 
pProcessSeourity = NULL 












CommandLine = "notepad. exe” 


6A aa 
805424 74 
52 
Modu leF i LeName = NULL 






aal2FCEC 
GO12FCC 
GaGl2FCC4 
ESP«C Goi2FCCS 
ESP+16 6G612FCCC 
ESP«14 6612FCD8 
ESP«12 B012FCD4 
ESPM1C ”9812FCD8 
ESP+26 — OBO12FCDC 
ESP424 aalercEa 












roce s 
pThreadSeourits = NULL 

InheritHandles = FALSE 

Creat ionF lags = NORMAL_PRIORITY_CLASS 
pEnvironment = NULL 

CurrentDir = NULL 

pStartupInfo = B012FCF4 

pProcessInfo = 0012FCE4 











üRIZFCEA 


图 34-11 调用 CreateProcessW() 的 代码 


跟踪 进入 kernel32!CreateProcessW()( StepInto(F7) )， 可 以 看 到 在 其 内 部 又 调用 了 kernel32! 
CreateProcessInternalW()， 如 图 34-12 所 示 。 






7647z0@2D [Fš 8BFF nou FOI EDI kernel32.CreateProcessll 
Te47202F 55 PUSH EBP 

7643720239 SBEC MOY Fons ESP 

76472032 68 en PUSH 

76472024 2c 











ICAI 
POP EBP 
RETN 25 















ABGANG 
= 8@12FD28 -> (UNICODE) "notepad.exe" 
记名 
B0900609D0 
00099000 
8008906920 
8090609090 
B6880860 
Arala = 6812FCF4 
Argil = 8812FCE4 
Aralz = 0006080000 






a 
9012FCSC 
BalsFCHO 
B012FCRA4 
BG12FCAHS 
ESP«28 8812FCAC 
ESP+2C — BO12FCBD 












- GGBaOaD 


图 34-12 调用 CreateProcessInternalW() 


在 图 34-12 中 查看 下 方 栈 内 存 ， 可 以 看 到 它 与 图 34-11 中 的 栈 (C 函数 参数 ) 几乎 是 一 样 的 。 继 
续 跟 踪 进 入 kernel32!CreateProcessInternalW()， 如 图 34-13 所 示 。 











PUSH 764C5050 












S0S04C76 
ES DFCCFFFF 
45 08 






75404200 

Z64C42E0 898S R4FCFFFF 
764C42E6 8BSS BC 
?64C42E93 






8295 DCFCFFFF 
D4FCFFFF 
8995 É4FBFFFF |M 


fe64C42EF 
Té4C4ZF2 
fe4C42FS 
T64C42FB 
PE4C42@1 












e. š. a) 4 Š l | | | |n n n 
Qo cmo: 
P mow 
D 
a 


764C4304 9985 ECFBFFFF ERX 
754439 8845 24 MoU EAX, DuoRD PTR SS: CEBP+24] 
z6454360 8985 SCFCFFFF |MOU DWORD PTR SS:LEBP-3741,ERX 





图 34-13  CreateProcessInternalW( fV f 
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kernel321!CreateProcessInternalW0O 是 一 个 相当 大 的 函数 。 在 代码 窗口 中 辐 下 拖 动 滑动 条 ， 就 
会 出 现 调用 ntdllZwCreateUserProcess0 的 代码 ， 如 图 34-14 所 示 。 









764543F3 5a PUSH ERX ` 
: 8085 6CFBFFFF |LER EAX, DWORD PTR SS: LEBP-4941 
E PUSH ERX 


6A ai PUSH 1 
FFBS C4FCFFFF SH DWORD PTR 


SS: LEBP-33C1 
FFBS 14FBFFFF SS: LEBP-4EC 1 
FFBS &B8FBFFFF S D PTR SS:LEBP-4R81 


PTI 
B8 88688682 MOU EAX, 2032040 
56 EAX 


LER EAX, DIORD PTR SS:[EBP-3441 
PUSH EAX 
LEA EAX, DWORD PTR SS:[EBP-3281 
_| PUSH ER 


HOU ESI, EAX 
MOU DWORD PTR SS:LEBP-3981,ES1 
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DES BCFCFFFF 
&D85 EGFCFFFF 
5ü i 

























SBra 
89B5 7ØFCFFFF 






A RS FE s ` : ^| 8812F958 

5 6612F636 E A E a2zeanona 

Mai 1B HS Be 88) :bs BG12F634 8200p08BD0 

3.5. r 2 0012F628 gagaacooo 

= Ç: 8912F63C rae üaaaaogo 

5 ESP+12 p noagaaona 

aaoaaa1 

an2a45ca 
E š ; 86 DO B 4 ; n012E7E8 
aai SEARG| an GA AA Ga Sa a QQ SP+2S HE 0012FB4C| LAr 9512FB4C 


图 34-14 ”调用 ZwCreateUserProcess() 的 代码 


在 图 34-14 中 查看 下 方 的 栈 ， 可 以 看 到 它 与 图 34-12 中 的 栈 有 着 非常 大 的 不 同 。 第 二 个 参数 
( Arg2 ) 是 一 个 结构 体 ， 查 看 左 侧 的 Hex dump 窗 口 可 以 发 现 ， 结构 体 成 员 中 ， 地 址 12F950 存 储 的 
12FD38 是 字符 串 ( “notepad” ) 的 地 址 ( 参考 图 34-11 中 的 栈 )。 调 用 NtdlllZwCreateUserProcess() 
时 子 进程 就 会 被 挂 起 ( Suspend )， 暂 停 运行 ， 如 图 34-15 所 示 。 





| Process 


& mi] System Idle Process 


Ig ]csrss.exe 


mg wininit,exe 








[534-15  notepad.exetitti;E 


notepad.exe 进 程 已 经 生成 ,但 是 其 EP 代码 尚未 运行 。 在 图 34-14 代 码 中 继续 执行 ， 就 会 出 现 
调用 ntdlllZwResumeThread() API 的 代码 ， 如 图 34-16 所 示 。 
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T64C4F96 
re4Cc4F98 
764C4F399 









JNZ SHORT 764C4FBS 
PUSH H EBX 
M DWOR 



















FE4C4FRS ER FOU | ESI,E akai 
PE4CAFA? 8385 TOFCFFFF ES PTR SS:IEBP-3981,ES1 
PE4CAFAD 


CHE ESI,EBX 
JL 764EER6C 





T&4C4FRF 


` 


BF8C B77RB200 


图 34-16 ”调用 ZwResumeThread() 函 数 的 代码 


顾名思义 ，ntdll!ZwResumeThread0 函 数 就 是 用 来 恢复 运行 线程 的 。 该 线程 即 是 子 进程 
( notepad.exe ) 的 主线 程 。 所 以 调用 执行 该 API 时 ， 子 进程 的 EP 代码 才 会 执行 ， 如 图 34-17 所 示 。 








&j E] System Idle Process 
[ig] csrss.exe 
ij wininit exe 
ss,exe 


























图 34-17 ”恢复 运行 的 notepad.exe 


综 上 所 述 ，CreateProcessW() API 的 调用 流程 整理 如 下 : 
kernel32!CreateProcessW 
kernel32!CreateProcessInternalW 
ntdll!ZwCreateUserProcess // 创建 进程 (主线 程 处 于 挂 起 状态 ) 
ntdll!ZwResumeThread // 主线 程 被 恢复 运行 (运行 进程 ) 
创建 子 进 程 的 过 程 中 最 后 被 调用 的 API 是 ntdllZwResumeThread0。 所 以 钩 取 该 API， 在 子 进 


程 的 EP 代码 运行 之 前 , 拦截 获取 控制 权 , 然后 钧 取 指 定 API。ntdll!lZwResumeThread() 是 尚未 公开 
的 API， 函 数 定义 ( 出处: MSDN) 如 下 : 
NTSTATUS NtResumeThread( 


IN HANDLE ThreadHandle, 
OUT PULONG SuspendCount OPTIONAL 


E 
提示 


Jl] P A F ntdll!ZwResumeThread() API 5 ntdll!NtResumeThread() API 虽 然 名 称 不 
同 ， 但 其 实 是 同一 函数 。 





『 面 介绍 的 4 个 API ( CreateProcessW 、 CreateProcessInternalW 、ZwCreateUserProcess 、 
ZwResumeThread ) 中 ， 无 论 钓 取 哪 个 API， 都 能 实现 我 们 的 目标 一 一 全 局 API 钓 取 ( 下面 练 习 中 
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将 钧 取 ntdll.ZwResumeThread() API ). 

RE; — —— ————  ———— == ——— 
若 钧 取 位 于 上 层 的 CreateProcessSW0 函 数 ， 则 在 某 个 特定 情形 下 〈 如 直接 调用 
CreateProcessInternalW 时 ) 可 能 导致 无 法 正常 钩 取 .所 以 最 好 钩 取 CreateProcessInternalW() 
下 层 的 函数 (各 有 优 缺 点 ， 建 议 各 位 都 尝试 一 下 )。 





34.5 ”练习 示例 : 控制 IE 网 络 连接 


下 面 做 个 练习 ， 目 标 是 控制 下 的 网 络 连接 。 钧 取 正 进程 的 特定 API， 用 正 连 接 指定 网 站 ( 如 
Naver, Daum, Nate, Yahoo) 时 ， 使 之 连接 到 另外 一 个 网 站 ( www.reversecore.com )。 此 外 ,在 
正中 添加 新 选项 卡 ， 同 时 比较 新 添加 的 进程 的 情形 ， 进 一 步 了 解 全 局 API 钧 取 技 术 。 

提示 

本 练习 示例 在 Windows XP SP3, Windows 7 32 位 操作 系统 及 IE 8 中 通过 测试 。 


示例 练习 中 , 我们 将 向 目标 进程 注入 redirect.dll 来 实现 API 钓 取 。redirect.dll 钧 取 下 面 2 个 API。 


wininet!InternetConnectW(): 钓 取 后 可 以 控制 下 进程 的 连接 地 址 。 
ntdll!ZwResumeThread() : 钓 取 后 实现 全 局 API 钓 取 。 


34.5.1 运行 IE 
首先 运行 正 浏览 器 ， 然 后 使 用 Process Explorer 查 看 运行 中 的 IE 进 程 的 结构 。 


从 图 34-18 中 可 以 看 到 ， 正 进程 以 父子 进程 的 形式 运行 。 只 要 钩 取 父 进程 的 ntdll1ZwResume- 
Thread() API， 那 么 后 面 生成 的 所 有 子 正 进程 都 会 自动 钩 取 。 


ramun 












| File Options ` View Proces: Find Dii User - rs 
“ki 21 =m E 9 m x | @ 





[Process PID 
| = E] System Idle Process | 0 
| csrss.exe i 352 
| ge? wininit,exe | 412 


csrss.exe 





| Name E Description » 


|(DDFS71F2-BE96-... 

jActioncenter.dll 

| ActionCenter.dll..,, 

‘actxprxy.dll ActiveX Interface Marshaling Library 

{ADV APIS2.dll - 
4 





CPU Usage: 2.27% 








Commit Charge: 16.62% Processes: < 





图 34-18 iexplore.exe fe 
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34.5.2 ”注入 DLL 


首先 在 命令 行 窗口 中 使 用 InjD1Lexe 命 令 ， 将 redirect.dll 文 件 注入 正 进 程 (iexplore.exe )， 如 图 
34-19 所 示 。 





Windovrs\System32\omd.exe 

















图 34-19 ”运行 InjDll.exe - 将 redirect.dll 注 人 iexplore.exe 


使 用 Process Explorer 工 具 查 看 redirect.dll 文 件 是 否 正常 注入 IE 进 程 ， 如 图 34-20 所 示 。 


























Handie or DLL substring: — redirect.dl [esearch] [Sene J 
| Process PIb Type Handle or DLL | 
iexplore.exe 1860 DLL c workWWredirect dll 
iexplore.exe 3228 DLL c'%workWredirect.dll 
| 
| 2 matching items. 
E 





图 34-20 ”查看 redirect.dl! 成 功 注 入 
e 
InjDILexe 是 专门 用 于 注入 的 程序 。 更 多 相关 说 明 请 参考 第 AAE"DLL 注入 专用 工具 ”。 








34.5.3 创建 新 选项 卡 
在 IE 浏 览 器 中 创建 新 选项 卡 ， 如 图 34-21 所 示 。 


ZSA eH) GEN) EFRA 




















图 34-21 ”新建 IE 选项 卡 
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使 用 Process Explorer 工 具 可 以 看 到 ，redirect.dll 已 经 成 功 注入 新 选项 卡 进 程 (PID: 3136 ), 
如 图 34-22 所 示 。 





Process 
|m mSystem Idle Process 
天 csrss.exe 
[| i R1 wininit.exe 
国 csrss.exe 





Name Description 


| |rasadhip.dll Remote Access AutoDial Helper 
| |RASAPI32 dll Remote Access API 
dll Remote Access Connection Manager 


Remote RPC Extension ^ 
Microsoft Enhanced Cryptographic Pn 
Routing Utilities 








ommit Charge: 18.8396 Processes; « [ 
t — HÀ 


—— 


图 34-22 ”向 新 下 进程 注入 redirect.dll 
由 此 可 见 ， 通 过 钩 取 ntdll1ZwResumeThread() API 成 功 实现 了 全 局 API 钓 取 。 


34.5.4 ”尝试 连接 网 站 
在 IE 任 意 一 个 选项 卡 中 尝试 连接 下 列 网 站 。 


www.naver.com 
www.daum.net 
www.nate.com 
www.yahoo.com 


如 图 34-23 所 示 , 虽然 地 址 栏 中 输入 的 是 naver, 但 是 浏览 器 实际 连接 的 网 站 却 是 ReverseCore。 








] 一 http://www naver.com/ 





Www.reversecore.com 











图 34-23 ”被 钩 取 的 IE 进程 
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3⁄1 





34.5.5 ÆN DLL 


FAMER (Unloading ) redirect.dll 文 件 ， 如 图 34-24 所 示 





EE: C\Windows\System32\cmdexe 


r > T poa 
=2 X | 





ye _exe (1868 t | 











图 34-24 ”从 iexplore.exe 进 程 印 载 redirect.dll 
使 用 Process Explorer T.H. nJ Æ $llredirect.dll t RIH ( 参考 图 34-25 ) 
I process Explorer ser t r Tn | 





Handle or DLL substring: redirectdl Z = 2 


Process pib Type Handle or DLL 














图 34-25 redirect.dll! 成 功 印 载 


现在 使 用 下 浏览 器 重新 连接 Naver， 可 以 看 到 IE 正 常 连接 ， 如 图 34-26 所 示 . 





sc | 


| e s Ca naver.com £ v El Google J t40 


XtEHF) RAO EEV SESA IAM MA 


| 
| 3 ü w PETS v 


"um T h 








图 34-26 “K” Ja BUJIETI Was 


A 
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34.5.6 ”课外 练习 


请 各 位 使 用 前 面 介绍 的 InjDll.exe 与 redirect.dll 文 件 再 多 做 些 课外 练习 。 练 习 做 得 多 了 ， 才 能 
真正 理解 全 局 API 钩 取 技 术 的 原理 与 含义 。 

口 HPA ETE o 

O (JH explorer.exe ( 以 后 运行 IE )。 


34.6 ”示例 源 代码 
本 节 讲 解 主要 函数 ( 为 讲解 方便 ， 代 码 中 省 略 了 异常 处 理 部 分 )。 


34.6.1 DIIMain() 


首先 看 看 DIIMain0 函 数 。 


BOOL WINAPI DllMain (HINSTANCE hinstDLL, DWORD fdwReason, LPVOID 


lpvReserved) 
{ 
char szCurProc[MAX PATH] = {0,}; 
char *p = NULL; 
switch( fdwReason ) 
{ 
case DLL PROCESS ATTACH : 
GetModuleFileNameA(NULL, szCurProc, MAX PATH); 
p = strrchr(szCurProc, 'NN'); 
if( (p != NULL) && !_stricmp(p+1, "iexplore.exe") ) 
1 
// 4&f&wininet!InternetConnectW() API 之 前 
// 预先 加 载 Wininet.dLL 
LoadLibrary(L"wininet.dll"); 
) 
// hook 
hook by code("ntdll.dll", "ZwResumeThread", 
(PROC)NewZwResumeThread, g pZWRT); 
hook by code("wininet.dll", "InternetConnectW", 
(PROC)NewInternetConnectW, g pICW); 
break; 
case DLL PROCESS DETACH : 
// unhook 
unhook by code("ntdll.dll", "ZwResumeThread", 
9 pZWRT); 
unhook by code("wininet.dll", "InternetConnectW", 
g pICW); 
break; 
l 
return TRUE; 
} 


DllIMain(0 函 数 的 核心 功能 是 ntdll1ZwResumeThread(0) 与 wininet!InternetConnectWO APIK “HE 
钓 / 脱 钧 ”功能 。 其 中 有 条 语句 显得 比较 特别 , 若 运行 的 进程 名 为 iexplorerexe 时 , 则 加 载 wininet.dll 
文件 。iexplorer.exe 进 程 正常 运行 时 ， 自 然 会 加 载 wininet.dll， 为 什么 还 要 特意 增加 一 条 语句 加 载 
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它 呢 ? 这 与 全 局 API 钩 取 的 特性 有 关 。 钩 取 ntdll!ZwResumeThread0 API 时 ， 需 要 在 相关 进程 的 主 
线程 开始 之 前 拦截 控制 权 ， 此 时 ， 我 们 要 钧 取 的 wininet,dll 模 块 可 能 尚未 加 载 。 若 模块 未 加 载 就 
钩 取 其 内 部 API ， 将 导致 失败 。 为 防止 出 现 这 类 问题 ， 进 程 为 iexplore.exe 时 ， 钩 取 
wininet!InternetConnectW() API 之 前 必须 加 载 wininet.dll 文 件 。 


提示 

示例 代码 中 ,我 们 使 用 5 字 节 修改 技术 钓 取 Wininet.InternetConnectW() API, 3⁄ # 
使 用 7 字 节 修改 技术 也 是 可 以 的 。 但 是 钩 取 ntdll.ZwResumeThread() API 只 能 使 用 5 字 
节 修 改 技术 ( 由 于 没有 足够 的 空间 ， 所 以 无 法 使 用 7 字 节 修改 技术 )。 关 于 7 字 节 修改 
技术 (“ 热 补 丁 ”) 请 参考 第 33 章 。 





34.6.2 NewlnternetConnectW() 


wininet!InternetConnectW () B5 £J X eR Zi Jy NewInternetConnectW() PRG, © fi Ti US TATE E E 


地 址 ， 正 尝试 连接 到 特定 网 站 时 ， 将 其 转 到 我 们 指定 的 网 站 。 以 下 是 NewInternetConnectW0 函 数 
的 代码 。 


代码 34-3 NewlnternetConnectW() ` 


HINTERNET WINAPI NewInternetConnectW 


( 


HINTERNET hInternet, 
LPCWSTR lpszServerName, 
INTERNET PORT nServerPort, 
LPCTSTR lpszUsername, 
LPCTSTR lpszPassword, 
DWORD dwService, 

DWORD dwFlags, 

DWORD PTR dwContext 


HINTERNET hInt - NULL; 
FARPROC pFunc = NULL; 
HMODULE hMod = NULL; 


// unhook 
unhook by code("wininet.dll", "InternetConnectW", g pICW); 


// call original API 
hMod = GetModuleHandle(L"wininet.dll"); 
pFunc = GetProcAddress(hMod, "InternetConnectW"); 


if( ! tcsicmp(lpszServerName, L"www.naver.com") || 
! tcsicmp(lpszServerName, L"www.daum.net") || 
! tcsicmp(lpszServerName, L"www.nate.com") || 
! tcsicmp(lpszServerName, L"www.yahoo.com") ) 


hlInt = ((PFINTERNETCONNECTW) pFunc) (hInternet, 
L"www.reversecore.com", 
nServerPort, 
lpszUsername, 
lpszPassword, 
dwService, 
dwFlags, 
dwContext); 
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) 

else 

t 

hInt = ((PFINTERNETCONNECTW) pFunc) (hInternet, 

lpszServerName, 
nServerPort, 
lpszUsername, 
lpszPassword, 
dwService, 
dwFlags, 
dwContext); 

} 

// hook 


hook by code("wininet.dll", "InternetConnectW", 
(PROC)NewInternetConnectW, g pICW); 


return hInt; 


AA ERETRIA], NewInternetConnectW() PR 8 (HB JF 8 E Zie ,. eR CB S8 1 S 


lpszServerName 字 符 串 即 是 要 连接 的 网 站 地 址 。 监 视 该 连接 地 址 ， 正 连接 的 是 特定 网 站 (Naver, 
Daum, Nate, Yahoo) 时 ， 就 将 连接 地 址 修改 为 我 的 博客 地 址 ( ReverseCore ). 


34.6.3 NewZwResumeThread() 


NewZwResumeThread() KH Æ XJ ntdll!ZwResumeThread() APLJETT ÆJ £4, ARAN F: 


代码 34-4 . NewZwResumeThread() 


NTSTATUS WINAPI NewZwResumeThread(HANDLE ThreadHandle, PULONG 


f 


SuspendCount) 


NTSTATUS status, statusThread; 

FARPROC pFunc = NULL, pFuncThread = NULL; 
DWORD dwPID = 0; 

static DWORD dwPrevPID = 0; 
THREAD BASIC INFORMATION tbi; 

HMODULE hMod = NULL; 

TCHAR szModPath[MAX PATH] = {0,}; 


hMod = GetModuleHandle(L"ntdll.dll"); 


// i&Hintdll!ZwQueryInformationThread() 
pFuncThread = GetProcAddress(hMod, "ZwQueryInformationThread"); 


statusThread - ((PFZWQUERYINFORMATIONTHREAD)pFuncThread) 
(ThreadHandle, 0, &tbi, sizeof(tbi), NULL); 


dwPID = (DWORD)tbi.ClientId.UniqueProcess; 
if ( (dwPID !- GetCurrentProcessId()) && (dwPID != dwPrevPID) ) 


t 
dwPrevPID = dwPID; 


// 修改 privitege 
SetPrivilege(SE DEBUG NAME, TRUE); 


// 获取 injection dll 42 
GetModuleFileName(GetModuleHandle(STR MODULE NAME), 
szModPath, 








MAX PATH); 


InjectDll(dwPID, szModPath); 
} 


// 调用 ntdll!ZwResumeThread() 
unhook by_code(“ntdll.dll”, "ZwResumeThread", g pZWRT); 


pFunc = GetProcAddress(hMod, "ZwResumeThread"); 
status = ((PFZWRESUMETHREAD) pFunc) ( ThreadHandle, Sepe eU 


hook by code("ntdll.dll", "ZwResumeThread", 
(PROC)NewZwResumeThread, g pZWRT); 


return status; 


NewZwResumeThread() PK Zi f] $5 —- Ue EC ie 13) £x Ei] ( ThreadHandle )。 前 面 说 
明 中 已 经 指出 ， 该 线程 即 是 子 进程 的 主线 程 。 在 NewZwResumeThread0 函 数 的 前 半 部 分 调用 
ZwQueryInformationThread() API， 就 是 为 了 获取 线程 句柄 所 指 线程 ( 子 进程 的 线程 ) 所 属 的 子 进 
程 的 PID。 像 这 样 ， 通 过 线程 句柄 参数 即 可 获得 (刚刚 创建 的 ) 子 进程 的 PID ， 然 后 使 用 该 PID 就 
可 以 注入 redirect.dll ( £4JDLL ) 文件 。 相 关子 进程 在 主线 程 运行 前 就 已 经 注入 redirect.dll 文 件 ， 
自动 实现 了 API 钓 取 。 最 后 正常 调用 ntdll!lZwResumeThread() API， 将 子 进 程 的 主线 程 恢复 运行 。 
这 样 ， 子 进程 就 在 API 被 钓 取 的 状态 下 得 以 正常 运行 。 

高 级 AP1 钧 取 与 低级 API 钧 取 ——— 

钩 取 ntdlllZwResumeThread() API 比 钩 取 kernel32!CreateProcess() API 更 强大 、 更 

方便 。 因 为 CreateProcess() 在 内 部 调用 了 CreateProcessInternal()。 如 果 在 程序 中 直接 调 

用 CreateProcessInternal()， 则 无 法 正常 钓 取 ( 此 时 直接 钓 取 CreateProcessInternalO 反 而 

更 好 )。 像 这 样 ， 越 钩 取 低级 API ( ntdll.dll 中 提供 的 API )， 效 果 越 好 。 但 是 大 部 分 低 

级 API 尚未 文档 化 ， 根据 OS 版 本 不 同 可 能 变化 。 相 反 ， 高 级 API ( kernel32.dll 级 

别 一 公开 的 ) 一 般 不 会 变化 ， 文 档 化 做 得 也 非常 好 ， 用 来 钓 取 是 比较 稳定 的 ， 但 是 钓 

at ng 些 。 所 以 ， 高 级 API 钩 取 与 低级 API 钓 取 各 有 长 短 ， 使 用 时 要 根据 具体 

情况 选择 ， 这 才 是 明智 的 做 法 。 


34.7 ”小结 


本 章 分 析 了 练习 示例 的 源 代码 ， 进 一 步 学 习 了 全 局 API 钓 取 的 实现 原理 ， 并 借 此 掌握 了 有 关 
API 钧 取 的 所 有 知识 。 tt RE RAN. 经 历 大 量 失败 来 积累 丰富 的 实战 经 
验 。 接 触 并 解决 各 类 问题 才能 逐渐 提高 代码 逆向 分 析 水 平 ， 相 信 大 家 会 对 此 深 有 体会 。 


第 35 章 ”优秀 分 析 工 具 的 五 种 标准 


35.1 工具 


无 论 哪个 领域 , 技术 人 员 (工程 师 ) 都 有 适合 自己 的 工作 环境 以 及 用 着 顺手 的 工具 (装备 )。 
所 谓 技术 人 员 , 就 是 指 熟练 使 用 某 一 类 工具 并 用 这 些 工 具 完 成 特定 任务 的 人 。 即 便 是 同一 套 工 具 ， 
不 同 水 平 的 技术 人 员 使 用 时 也 会 产生 完全 不 同 的 效果 ( 甚至 有 人 会 亲自 制作 要 使 用 的 工具 )。 并 
H, 技术 人 员 拥 有 并 熟悉 了 一 套 适合 自己 的 工具 后 , 一般 会 长 期 使 用 , 不 到 万 不 得 已 是 不 会 换 用 
其 他 工具 的 ( 即使 更 换 ， 也 会 换 同一 公司 生产 的 新 品 )。 不 管 怎样 ， 使 用 别人 的 工具 、 在 别人 的 
工作 环境 下 做 事 ， 总 让 人 感觉 不 方便 。 也 就 是 说 ， 只 有 在 自己 的 工作 环境 下 使 用 自己 用 着 顺手 的 
工具 ， 才 能 100% 发 挥 出 自己 的 技术 水 平 。 


35.2 ”代码 逆向 分 析 工 程 师 


代码 逆向 分 析 工 程 师 ( Reverser ) 是 什么 样 的 呢 ? 代码 逆向 分 析 工 程 师 是 IT 工程 领域 的 工作 
AR, 他 们 与 上 面 提 到 的 普通 技术 人 员 在 本 质 上 并 没有 什么 不 同 。 代 码 逆向 分 析 领 域 中 使 用 的 工 
具有 数 十 种 之 多 ,各 类 工具 又 有 多 种 不 同 的 产品 。 此 外 ，IT 领 域 的 特性 又 会 导致 不 断 涌现 出 大 量 
新 工具 。 代 码 逆向 分 析 中 用 到 的 工具 种 类 相当 多 , 常用 的 列 出 如 下 ( 此 外 还 有 大 量 未 提 及 的 工具 ): 

逆向 分 析 工具 的 种 类 : 

口 disassembler 

O debugger-PE, script 等 

O development tool-assembly、C/C++ 等 

口 editor(viewer)-text、hex resource. registry. string. PE 等 

O monitoring tool-process, file, registry, network. message 等 

口 memory dump 

O classifier 

O calculator-hex, binary 

O compare tool-text, hex 

Ü packer/unpacker 

O encoder/decoder 

O virtual machine 

O decompiler-C, VB, Delphi 等 


DD emulator 


35.3 ”优秀 分 析 工 具 的 五 种 标准 
以 下 是 我 选择 分 析 工具 时 使 用 的 5 种 标准 ( 指导 )， 供 各 位 参考 。 希 望 各 位 根据 自身 实际 情况 
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确立 自己 的 工具 选用 标准 。 


35.3.1 精简 工具 数量 


不 能 因为 别人 都 用 某 个 工具 所 以 自己 也 准备 很 多 还 不 了 解 功能 的 工具 , 这 样 是 没 用 的 。 自 己 
需要 用 的 工具 每 种 1 个 就 够 了 。 刚 开始 要 根据 自身 水 平 选择 相应 工具 ， 然 后 随 着 水 平 的 提高 慢 慢 
增加 即 可 。 此 外 ， 还 有 很 多 工具 功能 都 是 重复 的 ， 这 样 的 工具 用 1 个 就 行 了 。 


35.3.2 工具 功能 简单 、 使 用 方便 


随 着 水 平 的 提高 ,使 用 的 工具 数量 也 会 增加 。 此 时 工具 的 功能 越 简单 、 用 户 界面 越 直 观 , 使 
用 起 来 就 越 方 便 。 这 里 说 的 “功能 简单 ”是 作为 代码 逆向 分 析 工 具 而 言 ， 从 一 般 人 的 视角 来 看 ， 
它 仍 是 使 用 方法 非常 复杂 的 工具 。 所 以 无 论 多 么 简单 的 逆向 分 析 工 具 , 都 要 花费 相当 时 间 来 熟悉 。 


35.3.3 ”完全 掌握 各 种 功能 


再 好 的 工具 首先 也 要 懂得 使 用 ,不 然 就 毫 无 用 处 ,很 多 时 候 本 来 是 自己 所 用 工具 已 有 的 功能 ， 
但 因为 不 熟悉 , 需要 该 功能 时 不 得 不 找 其 他 工具 来 代替 。 选 中 某 个 工具 后 , 要 认真 阅读 使 用 说 明 ， 
熟悉 各 种 功能 。 常 用 功能 的 快捷 键 要 记 住 ， 这 会 使 工作 更 加 容易 ， 提 高 工作 效率 ( 学 会 灵活 使 用 
工具 快捷 键 就 会 越 来 越 膏 欢 ， 用 起 来 也 更 得 心 应 手 )。 


35.8.4 不 断 升级 更 新 


逆向 分 析 技 术 发 展 相当 快 ， 随 着 新 技术 的 不 断 涌现 ,与 之 对 应 的 工具 变化 也 很 快 ， 所 以 经 常 
更 新 所 用 工具 是 非常 重要 的 。 因 此 ， 建 议 大 家 选择 能 够 持续 更 新 的 工具 。 


35.3.5 理解 工具 的 核心 工作 原理 


理解 工具 的 工作 原理 能 够 帮助 我 们 更 好 地 使 用 工具 。 当 然 , 在 此 基础 上 能 够 开发 出 测试 原型 
(prototype ) 更 是 锦上添花 。 我 们 使 用 某 个 工具 时 通常 不 怎么 关心 其 工作 原理 ， 但 若 想 真 正 提 高 
自身 的 代码 闭 向 分 析 水 平 ， 了 解 工作 原理 是 非常 必要 的 。 比 如 , 理解 了 调试 器 的 工作 原理 后 就 能 
很 好 地 避 开 反 调 试 技术 的 阻碍 。 如 果 不 理解 工具 的 工作 原理 , 一 味 依赖 它 , 程序 中 的 一 些 简 单 花 
招 就 都 无 法 解决 ， 不 得 不 寻找 新 的 工具 ， 最 后 沦 为 “工具 的 奴隶 ”( 一 定 要 警惕 这 一 点 )。 


35.4 熟练 程度 的 重要 性 


各 位 听 说 过 debug.exe 这 个 程序 吗 ? 它 从 MS-DOS 时 代 就 存在 , 是 16 位 的 调试 器 ( Windows XP 
中 也 有 )。 在 命令 窗口 运行 debug.exe, 输入 “? ”命令 ， 显 示 帮 助 选 项 。 

图 35-1 显 示 的 就 是 全 部 指令 , 很 简单 。 我 曾 看 到 一 个 朋友 使 用 debug.exe 调 试 分 析 16 位 的 DOS 
程序 。 当 时 只 看 见 他 运行 某 个 工具 ,快速 敲 击 键 盘 ， 画 面 不 断 深 动 切换 ,我 就 站 在 他 身 旁 ,但 根 
本 看 不 出 他 在 干什么 ( 眼睛 根本 跟 不 上 他 的 调试 速度 ), 甚 至 没有 意识 到 刚 开 始 运行 的 是 debug.exe 
程序 ( 那 时 我 接触 debug.exe 已 经 一 个 多 月 了 ， 但 是 仍然 没有 意识 到 这 点 )。 后 来 我 知道 他 用 的 是 
debug.exe 时 被 惊 得 目瞪口呆 ,“ 只 使 用 那么 简单 的 debug.exe， 竟 然 能 那么 快 解 决 问题 ? ”从 那 以 
后 ， 我 选择 某 个 工具 时 就 立 下 了 一 条 规矩 ， 并 且 有 了 更 深层 次 的 认识 。 
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图 35-1 debug.exe 程 序 帮 助 
“即便 是 普通 的 工具 ， 对 其 认真 研习 并 运用 到 极致， 它 也 能 成 为 天 下 独一无二 的 优 
秀 工具 。 


就 像 武林 高 手 经 过 不 断 修炼 、 再 修炼 ， 丢 弃 有 形 的 “ 剑 ”"， 他 们 眼 里 任何 东西 都 是 剑 器 ， 如 
木 、 竹 、 石 等 ， 达 到 “手中 无 剑 心 中 有 剑 ” 的 境界 。 各 位 意 下 如 何 呢 ? 





第 36 章 64 位 计算 


不 知 不 觉 间 ，64 位 OS 得 到 快速 普及 ， 本 章 讲解 代码 道 向 分 析 工程 师 必 须 学 习 的 64 位 计算 
( 64bit Computing ) 相关 知识 。 


36.1 64 位 计算 环境 


80386 是 Intel 于 1985 年 推出 的 CPU 芯片 ， 它 是 一 种 32 位 徽 处 理 器 。 当 时 由 于 其 价格 高 昂 、 支 
持 的 OS 少 ， 几 乎 没有 得 到 普及 。 随 着 1995 年 微软 发 布 32 位 OS Winows 95， 计 算 机 正式 进入 32 位 
计算 时 代 。Windows 95 向 下 兼容 支持 16 位 程序 , 已 有 的 DOS 应 用 程序 大 部 分 也 能 够 稳定 运行 。 经 
过 几 年 16 位 /32 位 混用 的 过 渡 期 ,OS 进入 Windows 2000/XP 时 代 ，32 位 应 用 程序 开始 成 为 主流 ,并 
延续 至 今 。 此 过 程 中 ，CPU、OS 制 造 厂商 深刻 认识 到 32 位 PC 的 局 限 ( 主 物理 内 存 最 大 为 4GB ), 
纷纷 开始 开发 64 位 版 本 ， 这 就 是 64 位 CPU 与 64 位 OS 共同 构成 的 64 位 计算 环境 。 


36.1.1 64 位 CPU 


在 32 位 CPU 时 代 ，Intel 主 导 着 技术 主流 (x86 )，AMD 生 产 x86 兼 容 芯 片 ， 形 成 追击 之 势 。 但 
64 位 CPU 中 出 现 了 比较 有 意思 的 事情 。Intel 最 初 发 布 的 64 位 CPU IA-64 (产品 名 : Itanium) 是 一 
款 64 位 的 功能 强大 的 芯片 。 有 意思 的 是 ， 全 新 IA-64 采 用 了 与 原 x86 系 列 ( IA-32 ) CPU 完全 不 同 
的 芯片 。 就 像 IBM 的 PowerPC 系 列 一 样 ， 搭 载 的 寄存 器 以 及 使 用 的 指令 都 是 完全 不 同 的 ， 无 法 与 
现 有 的 IA-32 直 接 兼 容 ( 使 用 模拟 器 可 以 实现 间接 兼容 ， 但 速度 慢 )。 
其 实 ，IA-64 是 mtel 与 HP 合作 的 产物 ， 设 计 的 初衷 可 能 是 为 了 大 幅 提 高 计算 机 性 能 ， 霸 占 整 
个 PC 与 服务 器 市 场 ， 从 而 抛弃 了 向 下 兼容 的 特性 。 但 是 想 要 市 场 (特别 是 PC 市 场 ) 放弃 向 下 兼 
容 可 不 容易 。 此 后 AMD 发 布 了 AMD64, 它 是 一 款 兼 容 IA-32 的 64 位 芯片 。 支 持 向 下 兼容 的 AMD64 
在 PC 市 场 上 大 受 欢 迎 。 为 了 应 对 这 种 情况 ，Intel 从 AMD 购 买 使 用 许可 ， 发 布 了 与 AMD64 兼 容 的 
EM64T， 后 来 改名 为 ntel64。 最 近 Intel 推 出 的 Core 2 Duo、i7/i5/i3 等 CPU 就 是 Inte1l64 系 列 的 。 通 常 
说 的 x64 是 AMD64 与 Inte164 的 合 称 ， 指 的 是 与 现 有 x86 ( 1A-32 ) 兼容 的 64 位 CPU ， 主 要 用 于 普通 
PC 和 服务 器 。 而 IA-64 是 与 x64 具 有 完全 不 同形 态 的 CPU， 主 要 用 在 大 型 服务 器 与 超级 计算 机 中 。 
术语 一 览 
讲解 64 位 CPU 时 会 遇 到 相当 多 的 术语 ， 这 可 能 会 给 各 位 造成 困惑 。 现 将 常用 术语 整理 如 下 。 
表 36-1 CPU 术语 一 览 
术 语 说 RB 
AMD64 AMD 研 制 的 64 位 CPU (直接 向 下 兼容 x86) 
EM64T Intel 研 制 的 兼容 AMD64 的 CPU 
Intel64 EM64T 的 新 名 称 
IA-64 Intel 与 HP 合作 研发 的 64 位 CPU (可 通过 模拟 器 间接 兼容 x86) 
x86 Ptel 的 IA-32、IA-16、IA-8 系 列 的 CPU 
x64 AMD64 & Intel64 
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36.1.2 64 f: OS 


PC 中 使 用 的 Windows 64 位 操作 系统 有 Windows XP/Vista/7 的 64 位 版 本 。 微 软 认为 能 否 向 下 兼 
容 32 位 是 决定 64 位 OS 成 败 的 关键 ,支持 32 位 也 被 看 作 是 64 位 OS 的 核心 功能 。 为 此 ， 微 软 提 供 了 
名 为 WOW64 的 机 制 ， 现 有 的 32 位 应 用 程序 能 够 在 这 种 机 制 下 正常 运行 ， 使 现 有 32 位 源码 可 以 很 
容易 地 移植 到 64 位 系统 。 

LLP64 数 据 模 型 

64 位 Windows 中 使 用 LLP64 数 据 模型 实现 向 下 兼容 , 它 将 现 有 32 位 Windows 数 据 模型 (ILP32 ) 
中 的 指针 大 小 更 改 为 64 位 。 所 以 将 现 有 的 32 位 源 代 码 移植 到 64 位 系统 时 ， 只 要 在 指针 类 型 变换 上 
下 工夫 就 行 了 。 





表 36-2 ”数据 模型 
数据 模型 short int long longlong 指针 OS 
ILP32 16 32 32 64 32 MS Windows 3217 
LLP64 16 32 32 64 64 MS Windows 644 
LP64 16 32 64 64 64 UNIX 64 位 


还 有 一 点 需要 注意 的 是 ，HANDLE 类 型 大 小 在 64 位 Windows 中 已 经 变 为 64 位 。 
另外 ，64 位 UNIX 系 列 使 用 LP64 数 据 模型 ， 它 与 LLP64 的 不 同 在 于 长 整 型 类 型 的 大 小 为 64 位 。 
缩 略语 说 明 

ILP32: Integer. Long. Pointer-32 位 。 

LLP: LongLong. Pointer-64 位 。 

LP64: Long. Pointer-64 位 。 





36.1.3 Win32 API 


创建 64 位 应 用 程序 时 ， 现 有 的 Win32 API 几 乎 可 以 照搬 使 用 ， 而 非 另 外 提供 一 套 Win64 API, 
开发 人 员 不 用 再 熟悉 新 增 的 API， 没 有 这 个 负担 也 是 非常 吸引 人 的 地 方 。 通 过 诸如 此 类 的 各 种 考 
虑 ， 轻 松 实现 将 现 有 32 位 源 代码 移植 到 64 位 系统 。 

提示 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
微软 为 了 向 下 兼容 并 未 另外 制作 Win64， 以 后 安装 64 位 系统 时 也 会 一 同 提供 
Win64。 











36.1.4 WOW64 


现在 正 处 于 32 位 到 64 位 的 过 渡 期 ， 在 64 位 OS 中 正常 运行 现 有 的 32 位 应 用 程序 是 重 中 之 重 。 
就 像 先 前 的 Windows 95 能 够 同时 支持 32 位 Windows 应 用 程序 与 16 位 的 DOS 程 序 运 行 一 样 。 
WOW64 ( Windows On Windows 64 ) 是 一 种 在 64 位 OS 中 支持 运行 现 有 32 位 应 用 程序 的 机 制 。 

64 位 Windows 中 ，32 位 应 用 程序 与 64 位 应 用 程序 都 可 以 正常 运行 。64 位 应 用 程序 会 加 载 
kernel32.dll ( 64 位 ) 与 ntdll.dll ( 64 位 )。 而 32 位 应 用 程序 则 会 加 载 kernel32.dll ( 3217 ) 与 ntdll.dll 
( 32 位 ), WOW64 会 在 中 间 将 ntdll.dll ( 32 位 ) 的 请 求 ( API 调 用 ) 重 定向 到 ntdll.dll ( 64 位 )。 

也 就 是 说 ，64 位 Windows 提 供 了 32 位 Windows 的 系统 环境 ， 用 来 运行 32 位 应 用 程序 。 并 在 中 
途 借助 WOW64 将 其 变换 为 64 位 环境 ， 如 图 36-1 所 示 。 
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Native Ntoskrnl.exe (64bit) 
miat SEESE 
用 户 模式 

| Native ntdll.dll (64bit) 


Native kernel32 dll 
WOW64 (64bit) 


ntdil .di {32bit} 
kernel32.dii (32bit) 


32 位 应 用 程序 64 位 应 用 程序 





图 36-1 WOW64 


提示 一 n-sn— p—_ —m 
WOW64 仅 运行 在 用 户 模式 下 ， 运 行 在 内 核 模 式 中 的 驱动 程序 (Driver) 文件 必须 
编译 成 64 位 。 内 核 模 式 中 发 生 内 存 引用 错误 时 ,就 会 引发 BSOD( Blue Screen Of Death, 
蓝屏 死机 ) 问题 ， 所 以 为 了 保证 系统 稳定 性 ，WOW64 被 限制 在 用 户 模式 下 运行 。 





文件 夹 结构 
64 位 Windows 的 文件 夹 结 构 中 ， 开 发 人 员 与 逆向 分 析 人 员 都 需要 明确 知道 一 点 ， 那 就 是 
System32 文 件 夹 。 系 统 文件 夹 在 64 位 环境 中 的 名 称 也 为 System32， 并且 为 了 向 下 兼容 32 位 ,单独 
提供 了 SysWOW64 文 件 夹 ， 如 图 36-2 所 示 。 
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图 36-2 2 个 系统 文件 夹 


System32 文 件 夹 中 存放 着 64 位 的 系统 文件 ， 而 SyssWOW64 文 件 夹 中 则 存放 着 32 位 的 系统 文 
件 。 辐 用 户 提供 的 重要 的 系统 文件 被 分 别 编译 成 64 位 与 32 位 (参考 图 39-3 、 图 39-4 )。 
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| 组 如 AAAS. HR NER r- Fu. @ 
| ji System32 ^ zi ç a 
| Ài SysWOW64 55; kd1394.dll 
j j; TAPI 名 kdcom.dll 
1 j: Tasks = kdusb.dll 
j k Temp & kerberos.dil I 20; s4 
| J tracing ; 9, kernel32.dll = 2013/1/4 12:46 | 
| Ë whia & KernelBase.dl 20 1246 | 
|: ji Vss % kernelceip.dll | 
| Š) KEYOLSYS | 
| 5$ keyboard.drv | 
I p winsxs š, KEYBOARD.SYS i 
| k. zh-CN E| 过 Keyboardprotection dll | 
| de work $) keyiso.dll -| 
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| kernel32.dll IREE% 2013/ 3/3/5 20:39 | 
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图 36-3 ”System32 文 件 夹 中 的 kernel32.dll ( 644 ) 
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图 36-4 SysWOW64 文 件 夹 的 kernel32.dll ( 32 位 ) 


有 意思 的 是 ，64 位 应 用 程序 中 使 用 GetSystemDirectory() API 查 找 系统 文件 夹 ， 正 常 返 回 
System32 文 件 夹 。32 位 应 用 程序 中 调用 GetSystemDirectory0 返 回 的 文件 夹 名 称 也 为 System32， 文 
件 夹 的 实际 内 容 与 SyssWOW64 文 件 夹 是 一 样 的 。 这 是 WOW64 在 中 间 截 获 了 API 调 用 并 进行 操作 
后 返回 的 结果 ， 这 使 32 位 应 用 程序 可 以 正常 运行 。 


提示 





像 System32/SysWOW64 — 7f, Program Files 与 Program Files(x86) 文 件 夹 并 不 是 直 
接 重 定向 的 对 象 。32 位 应 用 程序 中 使 用 SHGetSpecialFolderPath() API 获取 Program Files 
文件 夹 路 径 时 ，WOW64 会 在 中 间 对 其 截获 ， 并 返回 Program Files(x86) 路 径 。32 位 应 
用 程序 中 ，SysWOW64 文件 夹 名 称 看 似 被 修改 成 System32， 但 是 Program Files(x86) 
文件 夹 会 原样 显示 。 


注册 表 
64 位 Windows 中 的 注册 表 分 为 32 位 注册 表 项 与 64 位 注册 表 项 ， 如 图 36-5 所 示 。 
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图 36-5” 拆 分 为 32 位 与 64 位 的 注册 表 


32 位 进程 请 求 访问 HKLM\SOFTWARE 下 的 键 时 ，WOW64 会 将 其 重 定 向 到 32 位 的 
HKLM\SOFTWARE\Wow6432Node 下 的 键 。 有 关注 册 表 重 定向 的 更 多 内 容 请 参考 下 面 MSDN 链 
接 。 与 文件 系统 重 定向 相 比 ， 注 册 表 通 常 显 得 更 加 复杂 。 需要 做 精确 开发 与 逆向 分 析 的 人 员 ,， 请 
务必 认真 阅读 下 面 链 接 中 的 内 容 。 

http://msdn.microsoft.com/en-us/library/aa384232(v=VS.85).aspx 

IR ———— ————— —— P 
与 文件 系统 不 同 ， 注 册 表 无 法 完全 分 离 为 32 位 与 64 位 两 部 分 ， 经 常 出 现 32/64 
位 共用 的 情形 。 有 时 候 向 32 位 部 分 写 入 的 值 会 自动 写 入 64 位 部 分 。 所 以 对 运行 在 
WOW64 环境 中 的 程序 进行 逆向 分 析 时 ， 必 须 准确 知道 访问 的 究竟 是 注册 表 的 哪 一 部 
分 (32 位 还 是 64 位 ), 





36.1.5 练习 : WOW64Test 


下 面 准备 了 一 个 简单 的 示例 ， 用 来 测试 WOW64。WOW64Test x86.exe 被 编译 为 32 位 文件 ， 
在 WOW64 模 式 下 运行 。 而 WOW64Test_ x64.exe 被 编译 为 64 位 文件 ， 运 行 在 64 位 Native 模 式 下 s 
两 个 文件 的 源 文件 (WOW64Test.cpp ) 都 是 一 样 的 。 

提示 —— N 
要 正常 运行 /调试 WOW64Test x64.exe 文件 , 需要 Windows XP/Vista/7 64 位 系统 环 
境 支持 。 








图 36-6 是 分 别 运行 它们 得 到 的 结果 。 
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- | 


| Gi SEA: CAWindowsA System32Vemd exe 


orporation. All rights reserved. 


c wo rk > 











图 36-6 WOW64Test x86.exe、WOW64Test x64.exe 


运行 示例 程序 可 以 获取 以 下 4 种 信息 : 


“system32” path 

File size of "kernel32.dll" 

"Program Files" path 

Create Registry Key: "HKLMSSOFTWAREReverseCore" 


从 运行 结果 画面 可 以 看 到 ，64 位 WOW64Test x64.exe 从 准确 位 置 ( 与 源 代 码 中 的 内 容 一 样 ) 
获取 值 并 生成 了 注册 表 键 。 但 是 以 WOW64 模 式 运行 的 32 位 WOW64Test_x86.exe 行 为 略 有 不 同 。 
它 虽然 把 System32 文 件 夹 日 录 识 别 为 “C:\Windows\system32”"， 但 其 内 容 却 指向 SyssWOW64 文 件 
Je ( 从 kernel32.dll 的 文件 尺寸 即 可 得 知 );. f Program Files 目 录 被 返回 为 “Program Files(x86)" 
创建 注册 表 项 时 ， 实 际 创建 的 不 是 HKLM\SOFTWARE\ReverseCore ， 而 是 A Gps 
Wow6432Node\ReverseCore。 以 WOW64 模 式 运行 的 32 位 应 用 程序 会 像 这 样 对 文件 C 文件 夹 ) 
注册 表 进 行 重 定 向 ， 请 各 位 一 定 要 注意 这 点 。 


在 64 位 Windows 环境 中 逐一 运行 示例 文件 , 然后 利用 文件 浏览 器 与 注册 表 编 辑 器 
查看 运行 结 】 





36.2 ”编译 64 位 文件 


本 节 将 向 各 位 介绍 编译 64 位 PE 文件 (PE+ 或 PE32+ ) 的 方法 。32 oh Ro OS 中 都 可 
以 分 别 交叉 编译 ( Cross Compile )32 位 /64 位 PE 文件 。 最 简单 的 方法 是 安装 Visual C++ 2010 Express 
Edition 与 Microsoft Windows SDK for Windows 7and .NET Framework 4。 

其 实 ，Visual C++ 2010 Professional 版 本 开始 就 默认 提供 64 位 编译 环境 。 但 在 免费 的 Express 
版 本 中 必须 先 安装 最 新 版 本 的 Windows SDK 才 能 编译 64 位 文件 
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36.2.1 Microsoft Windows SDK (Software Development Kit) 


原 有 Platform SDK 名 称 被 更 改 为 Windows SDK， 下 载 最 新 版 本 安装 即 可 。 
如 图 36-7 所 示 ，Windows SDK 提 供 了 32 位 的 x86 库 、64 位 的 x64 库 以 及 Itanium 库 ( IA-64 ) 
支持 。 









Installation Options 


E-[V] Windows Native Code Development 
. E] Samples 











[v] intellisense and Reference Assemblies 
[v] Tools 








[436-7 Microsoft Windows SDK 


36.2.2 i&& Visual C++ 2010 Express 环境 


为 了 进行 64 位 编译 ， 我 们 需要 在 VC++ 中 添加 编译 平台 。 下 面 以 练习 文件 为 例 讲解 一 下 大 致 
的 配置 步骤。 在 主 荣 单 栏 中 依次 选择 “生成 (B ) -配置 管理 器 《0O) ,打开 “ 配 置 管理 需 ”， 如 
图 36-8 所 示 。 














WOW64Test Debug [z] win32 [| gh 

















为 了 设置 新 的 编译 平台 ， 在 配置 管理 器 的 “活动 解决 方案 平台 (PO 中 ， 选 择 “< 新 建 ...>”， 
如 图 36-9 所 示 。 
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GORARDEB(C) GIXGmET&ep. 
[Debug — — 


项 目 上 下 文生 二 要 生成 到 部 寺 的 项 目 卫 轩 )(R) ES 
ma Es TEL 


| WOWEATest Debug iv] Win32 lzi EA 
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图 36-9 ”活动 解决 方案 平台 
如 图 36-10 所 示 ， 弹 出 “新 建 解决 方案 平台 ”对 话 框 。 























=== === 


图 36-10 ”新 建 解决 方案 平台 


在 对 话 框 中 选择 需要 的 编译 平台 ( Itanium、x64 ), 然后 在 新 创建 的 64 位 环境 中 开始 编译 即 可 ， 
如 图 36-11 所 示 。 
































|| | 
"B | 
| | 

A 
E ——— ——— | 




















C= M m == €—————] 


图 36-11 新 建 64 位 编译 环境 
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提示 

编译 过 程 中 有 时 会 发 生 LINK1104 等 错误 。 安 装 VC++ 与 Windows SDK 时 可 能 出 

现 多 个 版 本 并 存 的 状态 ， 这 会 造成 编译 亲 乱 ， 导 致 错误 。 此 时 在 主 菜单 栏 中 依次 选择 

“HA (P) -属性 (PY, AF “BER” IE, 在 “配置 属性 ”中 选择 “VC++ 目 
录 ” 项 目 ， 如 图 36-12 所 示 。 












可 执行 文件 且 录 $(VCinstallDir)bin\x86_amd64;$(VCinstallDir)bin:S(WindowsSdkDir)bin NETFX 4.0 Tools;$(Wil 
包含 且 录 S$(VCInstallDir)include; Kvcmse ER maae $(WindowsSdkDir)include;$(FrameworkS! 





源 目录 I $(VCInsta Da ee TESIT ESEA Ta $V 
排除 目录 $(VCInstallDir)include;$(VCinstallDir)atlmfeinclude;$(WindowsSdkDir)include;$(FrameworkS: 





图 36-12 VC Hs 





然后 在 原 路 径 的 最 后 添加 Windows SDK 的 安装 文件 夹 目录 就 可 以 了 ， 如 图 36-13 所 示 (请 分 
别 编 辑 修改 Debug/Release )。 





可 执行 文件 目录 $(VCinstallDir)bin\x86_amd64;$(VCinstallDir)bin;:$(WindowsSdkDir)bin\NETFX 4.0 Tools;$(Wi] 
和 包含 目录 $iVCInstallDir)include;$(VCInstallDir)atlmfcNinclude;$ (WindowsSdkbDir)include:'$(FrameworkS! 
Bx $iVCInstallDir)atlmfcAlibNamd64:$(VCInstallDir)libvamd64 


*' amd64;$(WindowsSdkDir)lib 64: 


SVcInsalbinimievremicSticin (Windows SDK 安装 文件 夹 ) 上 
$(VCinstallDir)include;$(VCinstallDir)a! ( dows SDK K ) 





图 36-13 ”修改 库 目 录 
对 64 位 计算 环境 的 讲解 到 此 结 
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要 在 64 位 环境 中 进行 代码 逆向 分 析 , 需要 具备 x64 CPU 的 基础 知识 , 本 章 将 与 各 位 一 起 学 习 。 


37.1 x64 中 新 增 或 变更 的 项 目 


为 了 保持 向 下 兼容 , x64 是 在 原 有 x86 基 础 上 扩展 而 来 的 。 要 在 x64 系 统 中 进行 代码 逆向 分 析 ， 
必须 先 了 解 x64 中 新 增 或 变更 的 内 容 。 

dg — n 
我 们 平时 很 少 接触 IA-64， 此 处 略 去 不 谈 。x64 中 新 增 的 内 容 比 我 们 想象 的 要 多 得 
多 ， 这 里 只 讲解 与 代码 逆向 分 析 有 关 的 部 分 。 更 详细 的 内 容 请 参考 Intel 用 户 手册 以 及 
MSDN 等 相关 信息 。 


37.1.1 64 位 


64 位 系统 中 内 存 地 址 为 64 位 ( 8 个 字 节 )， 使 用 64 位 大 小 的 指针 。 所 以 含有 绝对 地 址 ( VA) 
的 指令 大 小 比 原 来 增加 了 4 个 字 节 。 同 样 ， 寄 存 器 的 大 小 以 及 栈 的 基本 单位 也 变 为 64 位 。 


37.4.2 内存 


x64 系 统 中 进程 虚拟 内 存 的 实际 大 小 为 16TB (Trea Byte: 107 ) ( 内 核 空间 与 用 户 空间 各 占 
8TB )。 与 x86 的 4GB ( Giga Byte: 10°) 相 比 ， 大 小 增加 了 非常 多 。 

WE — == =———— p 
用 64 位 可 以 表示 的 数 为 2%=16EB (Exa Byte: 108 )， 日 常生 活 中 不 会 看 到 这 么 大 
的 数 。 所 以 64 位 的 CPU 理论 上 可 以 支持 16EB 大 小 的 内 存 寻 址 (Memory Addressing ), 
但 是 考虑 到 实际 性 能 ，x64 与 IA-64 都 不 支持 这 么 大 的 虚拟 内 存 ， 因 为 它 会 导致 巨大 的 
系统 开销 耗费 在 内 存 管理 上 。 


37.1.3 ”通用 寄存 器 


x64 系 统 中 ,通用 寄存 器 的 大 小 扩展 到 64 位 〈 8 个 字 节 )， 数 量 也 增加 到 18 个 〈 新 增 了 R8~R15 
寄存 器 )。x64 系 统 下 的 所 有 通用 寄存 器 的 名 称 均 以 字母 “R” 开 头 〈x86 以 字母 “E” 开 头 )， 如 
图 37-1 所 示 。 

为 了 实现 向 下 兼容 ， 支 持 访问 寄存 器 的 8 位 、16 位 、32 位 〈 例 : AL, AX, EAX) 

提示 一 一 
64 位 本 地 模式 中 不 使 用 段 寄存 器 : CS、DS、ES、SS、FS、GS， 它 们 仅 用 于 向 下 
兼容 32 位 程序 。 
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RAX EAX AX AL 
64 32 16 8 


RAX 
RCX 
RDX 
RBX 
RSP 
RBP 
RSI 
RDI 
R8 
R9 
R10 
R11 
R12 
R13 
R14 
R15 


图 37-1 x64 系 统 下 的 通用 寄存 器 ( 出 处 : Intel IA-32/64 用 户 手册 ) 


37.1.4 CALL/JMP 指令 


32 位 的 x86 系 统 中 ，CALL/JMP 指 令 的 使 用 形式 为 “地 址 指令 CALL/JMP”。 


x86 中 的 CALL/JMP 地 址 指令 1x 
Address Instruction Disassembly 



































00401000 X FF1500504000 CALL DWORD PTR DS:[00405000] i CALL 75CE1E12 
(LoadLibraryW) 

00401030 . FF2510504000 JMP DWORD PTR DS:[00405010] ; JMP 75CE10EF 
(Sleep) 

00405000 | 121ECE75 ; 75CEIE12 (Kernel32!LoadLibraryW) 

00405010 . EF10CE75 ` ; 75CE10EF (Kernel32!Sleep) 


FF15 XXXXXXXX 指 令 用 于 调用 API， 其 中 XXXXXXXX“ 绝 对 地 址 ”指向 IAT 区 域 的 某 个 位 
置 。x64 系 统 中 仍 使 用 相同 指令 ， 但 解析 方法 不 同 。 


BAd G Ä PhHbHrE 3TS 


Address Instruction Disassembly 























00000001'00401000  FF15FA3F0000 CALL QWORD PTR DS:[00000001'00405000] 
; CALL 00000000`75CE1E12 


00000001'00401030 ` FF250A400000 JMP QWORD PTR DS:[00000001' 00405010] 
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; JMP 00000000`75CE10EF 


00000001'00405000  121ECE7500000000 ; 00000000`75CE1E12 
(Kernel32!LoadLibraryw) 

00000001`00405010 EF10CE7500000000 ; 00000000`75CE10EF (Kernel32!Sleep) 

首先 指令 地 址 由 原来 的 4 个 字 节 变 为 8 个 字 节 , 然后 , x86 中 FF15 指 令 后 跟着 4 个 字 节 的 绝对 地 
HE ( VA )。 若 x64 中 也 采用 与 x86 相 同 的 方式 ， 则 FF15 后 面 应 该 跟着 8 个 字 节 的 绝对 地 址 ( VA ), 
这 样 指令 的 长 度 就 增加 了 。 为 了 防止 增加 指令 长 度 , x64 系 统 中 指令 后 面 仍 然 跟 着 4 个 字 节 大 小 的 
地 址 ， 只 不 过 该 地 址 被 解析 为 “相对 地 址 ”( RVA )。 所 以 上 面 的 指令 列表 中 ，FF15 后 面 的 4 个 字 
节 (3FFA ) 被 识别 为 相对 地 址 ， 并 通过 下 面 的 方法 将 相对 地 址 转换 为 绝对 地 址 。 


00000001`00401000+3FFA+6=00000001`00405000 


C) 00000001`00401000: CALL 指令 地 址 

口 3FFA: 相对 ( 地址 ) 

口 6: CALL 指令 (FFISXXXXXXXX ) KE 

C) 00000001700405000: 变换 后 的 绝对 地 址 

由 于 00000001`00405000 地 址 中 存储 着 00000000`75CE1E12 值 ， 所 以 上 面 出 现 的 第 一 个 CALL 
指令 最 后 被 解析 为 CALL 00000000`75CE1E12。 

提示 

关于 指令 解析 方法 请 参考 第 49 章 “IA-32 指令 ”。 





37.1.5 ”函数 调用 约定 


x64 系 统 中 男 一 个 重要 的 不 同 是 函数 调用 约定 。 前 面 介绍 过 ，32 位 系统 中 使 用 的 函数 调用 约 
定 包 括 cdecl、stdcall 、fastcall 等 几 种 ， 但 64 位 系统 中 它们 统一 为 一 种 变形 的 fastcall。64 位 fastcall 
中 最 多 可 以 把 天 数 的 4 个 参数 存储 到 寄存 器 中 传递 。 


表 37-1 64 位 fastcall 参 数 








5 A # 数 型 实 数 型 
Ist RCX XMM0 
2nd RDX XMMI 
3rd R8 XMM2 
4th R9 XMM3 


各 参数 顺序 由 寄存 器 确定 ， 比 如 第 一 个 参数 总 是 存储 在 RCX ( 实数 时 为 XMMO0 ) 中 。 若 函数 
的 参数 超过 4 个 ， 则 与 栈 并 用 。 也 就 是 说 ， 从 第 五 个 参数 开始 会 存 人 栈 来 传递 。 此 外 ， 函 数 返 回 
时 传递 参数 过 程 中 所 用 的 栈 由 调用 者 清理 。 看 上 去 x64 系 统 下 的 fastcall 就 像 是 32 位 系统 下 函数 调 
用 约定 cdecl 与 fastcall 方 式 的 混合 ( 所 以 前 面 我 们 把 它 称 为 变形 的 fastcall )。 使 用 这 种 新 的 fastcall 
可 以 大 大 加 快 函数 调用 的 速度 。 还 有 一 点 比较 有 意思 的 是 ， 函 数 的 前 4 个 参数 明明 使 用 寄存 器 传 
递 ， 但 是 栈 中 仍然 为 这 4 个 参数 预 留 了 空间 ( 32 个 字 节 ) (下 面 的 栈 部 分 会 详细 讲解 )。 
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37.1.6 栈 & 栈 帧 


Windows 64 位 OS 中 使 用 栈 与 栈 帧 的 方式 也 发 生 了 变化 。 简 言 之 ， 栈 的 大 小 比 函 数 实 际 需要 
的 大 小 要 大 得 多 。 调 用 子 函 数 ( Sub Function ) 时 ， 不 再 使 用 PUSH 命令 来 传递 参数 ， 而 是 通过 
MOV 指 令 操作 寄存 器 与 预定 的 栈 来 传递 ,使 用 VC++ 创 建 的 x64 程 序 代 码 中 几乎 看 不 到 PUSH/POP 
指令 。 并 且 创 建 栈 帧 时 也 不 再 使 用 RBP 寄 存 器 ， 而 是 直接 使 用 RSP 寄 存 器 来 实现 。 

a —==—————— ————— ——— — TP 
使 用 Visual C++ 编译 32 位 程序 时 ， 若 开启 了 编译 器 的 优化 功能 ， 则 几乎 看 不 到 使 
用 EBP 寄存 器 的 栈 帧 。 


该 方式 的 优点 是 ， 调 用 子 函 数 时 不 需要 改变 栈 指针 ( RSP )， 函 数 返 回 时 也 不 需要 清理 栈 指 
针 , 这 样 能 够 大 幅 提 升 程序 的 运行 速度 。 下 面 通过 一 个 练习 示例 进一步 了 解 32 位 与 64 位 栈 工 作 原 
理 的 不 同 。 


37.2 练习 : Stack32.exe & Stack64.exe 


通过 CreateFile() API 简 单 了 解 一 下 栈 在 32 位 与 64 位 环境 下 分 别 是 如 何 工作 的 ， 并 比较 它们 工 
作 方 式 的 不 同 。 


#include "stdio.h" 
#include "windows.h" 


void main() 


HANDLE hFile = INVALID HANDLE VALUE; 


hFile = CreateFileA("c:NNworkNWMReverseCore.txt", — // 1st - (string) 
GENERIC READ, // 2nd - 0x80000000 
FILE SHARE READ, // 3rd - 0x00000001 
NULL, // 4th - 0000000090 
OPEN EXISTING, // 5th - 0x00000003 
FILE ATTRIBUTE NORMAL, // 6th - 0x00090080 
NULL) ; // 7th - 0x00000000 


if( hFile !- INVALID HANDLE VALUE ) 
CloseHandle(hFile); 


首先 使 用 Visual C++ 2010 Express Edtion 工 具 将 代码 37-1 分 别 编译 为 32 位 程序 ( Stack32.exe ) 
与 64 位 程序 ( Stack64.exe )。 
37.2.4 Stack32.exe 


下 面 先 调试 32 位 Stack32.exe 程 序 。 使 用 OllyDbg 工 具 打 开 Stack32.exe， 转 到 main0 函 数 处 
( 401000 )， 如 图 37-2 所 示 。 
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butes = NORMAL 
OPEN_EXISTING 
pSecurity = NULL 
PUSH 1 Sharehode = NEL E-BHORE-RERD 
PUSH pr sN Access = GENERIC RERD 
PUSH 4 FileName = HOU OT NReverseCtore. trt” 
CRLL DWORD PTR DS:[406000] |LCreateFileR 


CMP 
JE SHORT | 60401029 80401 


029 
5a PUSH EAX hübiect = 00331C98 
FF15 04604001 CALL 的 PTR DS: (4960841 |EClosekandle 
3sca XOR EAX, EAX 





















If pe42i028|L. cs 


图 37-2 ”Stack32.exe 的 main0 函 数 


首先 分 析 Stack32.exe 的 main0) 函 数 特征 。 

特征 一 ， 不 使 用 栈 帧 。 由 于 代码 比较 简单 ， 变 量 又 少 , 开启 编译 器 的 优化 选项 后 ， 栈 帧 会 被 
省 略 。 

特征 二 ， 调 用 子 函 数 ( CreateFileA, CloseHandle ) 时 使 用 栈 传 递 参数 。 

特征 三 ,使 用 PUSH 指令 压 人 栈 的 函数 参数 不 需要 main() 函 数 清 理 。 在 32 位 环境 中 采用 stdcall 
方式 调用 Win32 API 时 ， 由 被 调用 者 ( CreateFileA 、CloseHandle ) 清理 栈 。 在 图 37-2 中 跟踪 代码 
到 401017 地 址 的 CreateFileA0O 函 数 处 ， 查 看 栈 ， 如 图 37-3 所 示 。 













Access = GENER C RERD 
Sharelode = F I EE SHARE READ 
pSecurity = = NULL 

Mode = OPER E ISTIHG 
Attributes = NORMAL 
hTemplateFile = NULL 


图 37-3 ”调用 CreateFileA() API 之 前 的 栈 


可 以 看 到 , 函数 的 7 个 参数 全 部 被 压 入 栈 。 接着 使 用 StepInto(F7) 命 令 , iE A CreateFileA() API, 
如 图 37-4 所 示 。 


agisFF2 
8081SFF2C 
aaisFF38 
e818FF34 
aaiSEFF38 
BE1SFFSC 
B81SFF48 










aaaaaoaaa 
aaaaaasa 
日 BBBBBBB 











|| 7637€078 
|| 2637€871 | 
7637CR73 7 T P Ñ 
76376875 | 51 PUSH ECX 
7637C875 | FF75 88 PUSH DWORD PTR SS:[EBP«*8] 


-—— Stack Frame: Prologue 















]?637c878 | 8D45 F8 LER ERX,DWORD PTR SS:[EBP-8] 

|7637cn7B| 58 PUSH EAX 

| 76376876 E8 9C81FFFF CALL 76375C1D Basep8BitStringToDynamicUnico 
|7637ca81! 85c8 TEST ERX ,ERX | 








BF84 6C2F8280 RIS orbis 





28 DWORD PTR SS:[EBP*28] 










FF75 1C PUSH DWORD PTR SS:[EBP+1C] 

FF75 18 PUSH DWORD PTR SS:[EBP+18] 

FF75 14 PUSH DWORD PTR SS:[EBP+14] j 

FF75 18 PUSH DWORD PTR SS:[EBP*10] — ntdl1.77039r42 | 

FF75 0C PUSH DWORD PTR SS:[EBP*C] | 
FC DWORD PTR SS:[EBP-4] 






| E8 5758FFFF Sa aspa CreateFileW | 










|z63zcan6 | 8D45 F8 LER EAX DWORD PTR SS: [EBP-8] 
i| 7637CAA9 58 PUSH EAX 

7637CAAA | FF15 5C853776 |CALL DWORD PTR DS:[7637855C] |ntdll.RtlFreeUnicodeString 
|7637C0B0 8BC6 MOU ERX ,ESI 
|| 7637cCnB2 
{7637CAB3 
7637CRB*5 





Stack32.0048101D 
—— Stack Frame: Epilogue 














图 37-4  CreateFileA() API 


从 图 37-4 中 可 以 看 到 ，CreateFileA() API 使 用 了 栈 帧 。 并 在 调用 CreateFileW0O API 之 前 使 用 
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PUSH 指令 将 接收 的 参数 压 人 栈 。 这 样 栈 中 就 有 了 2 份 相同 的 参数 (它们 的 区 别 在 于 第 一 份 的 7 个 
参数 为 ASCII 字 符 串 格式 ， 第 二 份 的 7 个 参数 为 Unicode 字 符 串 形式 )， 如 图 37-5 所 示 。 


G018FEF4 | 
B818FEF8 | FileName "Cc Wthvorkitf meg erseCore . txt" 

8618FEFC | access = GENERIC RERD 

8818FF88 ShareMode = FILE SHARE READ 

8018FFBh pSecurity - NULL Ë esta eQ 
B818FF88 Mode = OPEN EXISTING 7 个 参数 

S018FF BC | Attributes = NORMAL 

BO18FF16 LnTemplateFile = NULL 


88418FF415 
8019FF18| 00380002E 

8818FF1C| 8B5545D98| UNICODE "c:WtivorkliitfReuerseCore.txt" 
8818FF28|r8818FF88 

8818FF2h 09401010D RETURN to Stack32.8048191D From kernel32.CreateFileR 
8818FF28 96 BIASCIT "c:WworktiReverseCore txt" 

8018FF2€ x 

8848FF30 
B818FF35 
8818FF38 
0018FF3C 
8818FFA8||E | 
8618FF54|| B0n01416F RETURN to Stack32.8850116F From Stack32.B05018880 






= CreateFileA() 
7 个 参数 





图 37-5  CreateFileW() API 栈 
图 37-5 描 述 的 是 调用 CreateFileW() API 时 栈 中 的 情形 。 从 图 中 可 以 清楚 看 到 ， 相 同 参 数 被 重 
复 存 人 栈 。 以 上 就 是 我 们 熟知 的 在 32 位 环境 中 调用 函数 时 栈 的 工作 原理 。 
37.2.2 Stack64.exe 


下 面 调试 64 位 Stack64.exe 程 序 。 使 用 WinDbg(x64) 分 析 Stack64.exe 的 反 汇 编 代 码 ， 如 图 37-6 
所 示 。 











iea8*0000000 
ntdll.dli 

y C: Windows isystem32Vkerne132.d1l 
o : 660007fe fdobOO000 QOQOU7fe  fdllbOOD — C:VWindowsisystem32XKERNELBASE ,dii 
(1188. 794): Break instruction exception » code 50000003 (first chance) 
piu l Ldrp0oDebuggeraresksex30; 
"77131348 cc int 3 







1'40801000 4883ec45 sub rsp,48h 

1'40001004 4533c9 xor ead, rad 

1' 40001007 48c744243000000000 mov — qword ptr [rspe38h],0 

1 40001010 480d0419520000 les rcx,[imageQO000001 4000000000x6230 (00000001 10006230) ] 





1'40001920 c744242880000000 sov word ptr [rsp*28h], 80h 

001° 40001028 c744242003000000 mov dord ptr [rsps20h],3 

"46001036 ff15d24f0000 call  qword ptr [imageB0000001 40000000.0x6008 (00000001'40006008)] 
4883f6ff cep rax,0FFFFFFFFFFFFFFFFh 

7409 je image000090001_ 40000000-x1045 (00000001' 40001045) 

A8B8bcB mov rex,rax 

ffiSbb4fooQQ call Qqword ptr [image00000001 40000000«0x6000 (00000001' 40006000) ] 
3320 xor eax,eax 

4883c448 add rsp,48h 















4889502410 zov qword ptr [rsp+1@h],rbx 
rdi 


4883ec38 sub r&p,38h 
b844550006 sov ear, FARO 
6639059eefffff cap word pte [imagepoo0eo01 40000000 (0000000140000006) ] ,ax 














图 37-6 WinDbg: Stack64.exe 调 试 画面 
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图 37-6 是 在 WinDbg ( 644 ) 中 调试 Stack64.exe 的 画面 。WinDbg 下 的 64 位 程序 的 反 汇 编 代码 
不 带 注 释 ， 且 看 上 去 比较 复杂 ， 简 单 整理 如 代码 37-2 所 示 。 


00000001'40001000 sub  rsp,48h 


00000001'40001004 xor  r9d,r9d 4th - pSecurity 


00000001'40001007 mov  qword ptr [rsp-*30h],0 ; 7th - hTemplateFile 
00000001'40001010 lea rcx, [00000001' 40006230] ; Ist - FileName 
00000001'40001017 lea r8d, [r9*1] ; 3rd - ShareMode 
00000001'4000101b mov  edx,80000000h ; 2nd - Access 
00009001'40001020 mov dword ptr [rsp-*28h],80h ; 6th - Attributes 
00000001'40001028 mov dword ptr [rsp*20h],3 ; 5th - Mode 
00000001'40001030 call qword ptr [00000901' 400060098] ; CreateFileA() 


00000001'40001036 cmp  rax,O0FFFFFFFFFFFFFFFFh 

00000001'4000103a je 00000001' 40001045 

00000001'4000103c mov rcx,rax 

00000001'4000103f call qword ptr [00000901'40006000] ; CloseHandle() 
00000001'40001045 xor eax,eax 

00000001`40001047 add rsp,48h 

00000001'4000104b ret 


Stack64.exe 代 码 具 有 如 下 几 个 特征 。 

特征 一 ， 使 用 “变形 ”的 栈 帧 。 在 代码 起 始 部 分 分 配 48h ( 72d ) 字 节 大 小 的 栈 ， 最 后 在 RET 
命令 之 前 释放 。 这 样 大 小 的 栈 对 于 存储 局 部 变量 、 函 数 参 数 等 足够 了 。 还 有 一 点 需要 注意 的 是 ， 
栈 操 作 并 未 使 用 RBP 寄 存 器 ， 而 直接 使 用 RSP 寄 存 器 。 

特征 二 ,几乎 没有 使 用 PUSH/POP 指 令 。 请 认真 看 看 调用 CreateFileA() API 时 设置 参数 的 代码 
( 00000001`40001004-00000001`40001028 )。 第 1~4 个 参数 使 用 寄存 器 (RCX, RDX, R8, R9), 
第 5~7 个 参数 使 用 栈 。main0 〇 函数 开 妈 执行 时 , 使 用 MOV 指 令 将 参数 放 和 分配 的 栈 。 有 意思 的 是 ， 
并 未 看 到 调用 者 清理 栈 ( 64 位 fastcall 的 特征 ) 的 代码 ， 原 因 在 于 子 函 数 使 用 的 是 分 配给 main0) 函 
数 的 栈 ， 子 函数 本 身 不 会 分 配 到 栈 或 扩展 栈 。main(0) 函 数 的 栈 管 理由 main() 函 数 自身 负责 ， 子 函 
数 不 需 要 管理 通过 栈 传递 的 参数 。 

特征 三 ， 第 五 个 参数 之 后 的 参数 在 栈 中 的 存储 位 置 。 调 用 CreateFileA() API 前 要 设 定 参数 ， 
设置 顺序 比较 混乱 ( 函数 参数 在 32 位 程序 中 会 依 序 压 人 栈 )。 第 1~4 个 参数 使 用 寄存 器 (RCX, 
RDX、R8、R9 )， 从 第 五 个 参数 开始 使 用 栈 ， 但 第 五 个 参数 在 栈 中 的 存储 位 置 显得 有 些 奇怪 。 
00000001'40001028 mov  dword ptr [rsp+20h] ,3 ; 5th - Mode 

从 以 上 代码 可 以 看 到 ， 第 五 个 参数 在 栈 中 的 存储 位 置 为 [rsp+20h]，[rsp] 并 未 指向 栈 顶 。 原 因 
在 于 ， 虽 然 x64 系 统 中 第 1~4 个 参数 使 用 寄存 器 传递 ， 但 栈 中 仍然 为 它们 预 留 了 同等 大 小 的 空间 
( 20h-32d-4param*8*r 15 )。 所 以 ， 第 五 个 参数 开始 的 参数 从 栈 的 [rsp+20h] 位 置 C AE[rsp]fv. & ) JF 
始 保存 (这样 预 留 的 栈 空间 也 可 以 在 子 函 数 中 使 用 )。 

接 下 来 进入 CreateFileA() API 查 看 。 


代码 37-3 CreateFileA() API 部 分 代码 : 


kernel32!CreateFileA: 

00000000'76e82f90 . mov qword ptr [rsp+8], rbx 
00000009'76e82f95 . mov qword ptr [rsp*10h],rbp 
00000000'76e82f9a mov qword ptr [rsp*18h],rsi 
000900000'76e82f9f push rdi 

00000000'76e82fa0 sub rsp,60h 
00000000'76e82fa4 mov edi,edx 

00000000" 76e82fa6 mov rdx,rcx 
00000000'76e82fa9 lea rcx, [rsp+50h] 
00000000'76e82fae mov rsi,r9 
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00000000`76e82fb1 
00000000`76e82fb4 
00000000`76e82fba 
00000000`76e82fbc 


00000000`76e83003 
00000000`76e83005 
00000000`76e8300a 
00000000`76e8300d 
00000000`76e83013 
00000000`76e8301b 
00000000" 76e8301e 
00000000" 76683021 
00000000" 76e83026 
00000000" 76e8302d 
00000000" 76e8302f 
00000000` 76e83033 
00000000" 76e8303a 
00000000" 76e8303d 
00000000" 76e83041 
00000000" 76e83046 
00000000' 76e8305c 
00000000^ 76e83061 
00000000" 76e83069 
00000000" 76e8306d 
00000000^ 76e8306e 
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mov ebp, r8d 

call  qword ptr [kernel32! imp RtlInitAnsiStringEx] 
test eax,eax 

js kernel32!zzz AsmCodeRange End+0x8ae8 


mov 
call 
test 
jne 
mov 
mov 
mov 
mov 
mov 
mov 
mov 
mov 
mov 
mov 
call 
mov 
mov 
mov 
add 
pop 
ret 


edx,edi 
kernel32!BaseIsThisAConsoleName 
rax,rax 

kernel32!zzz AsmCodeRange End-40x8ac3 
rax,qword ptr [rsp«0A0h] 

r9,rsi 

r8d,ebp 

qword ptr [rsp-*30h],rax 
eax,dword ptr [rsp+98h] 

edx,edi 

dword ptr [rsp+28h] ,eax 
eax,dword ptr [rsp+90h] 

rcx,rbx 

dword ptr [rsp+20h] ,eax 
kernel32!CreateFilew 

rbx,rax 

rbp,qword ptr [rsp+78h] 
rsi,qword ptr [rsp+80h] 

rsp,60h 

rdi 


先 看 一 下 由 寄存 器 与 栈 传递 来 的 参数 ( 参考 图 37-7 )。 栈 传递 的 参数 之 上 是 参数 1~4 的 预 留 空 
间 ( 00000000'0012FEF0-00000000'0012FF00 ) ( 参考 图 37-8 )。 虽 然 未 在 传递 函数 参数 时 使 用 ， 
但 是 从 代码 37-3 的 前 3 个 指令 可 以 看 到 向 该 空间 赋值 的 操作 (有 时 采用 这 种 方式 使 用 )。 


= Registers - C3⁄ework: : 

















i Virtual: rsp — M 
: Display format [Byte — 




















最 后 谈 谈 代码 37-3 中 的 CreateFileA(O 的 栈 帧 。 由 于 该 函数 较 长 且 复杂 ， 所 以 分 配 了 60h ( 96d ) 
大 小 的 栈 。 遇 到 上 面 这 种 情况 ， 调 用 CreateFileW0 时 使 用 寄存 器 和 栈 ， 与 32 位 环境 下 的 情形 是 一 
致 的 ， 重 复 的 值 被 放 人 栈 。 

提示 二 
如 果 CreateFileA(0 是 一 个 非常 简单 的 函数 ， 自 身 不 需要 使 用 栈 帧 ， 不 向 栈 放 入 重 
复 值 的 情形 下 ， 可 以 原样 调用 CreateFileW0 函 数 。 函 数 调用 中 ，64 位 的 这 种 调用 方式 
要 比 32 位 的 调用 方式 好 得 多 。- 


37.3 小结 


x64 并 不 只 是 x86 的 扩展 ， 设 计时 做 了 非常 大 的 改变 ，Windows 64 位 OS 与 开发 工具 (VCH) 
中 也 存在 很 多 与 32 位 系统 不 同 的 部 分 。 现 在 正 处 于 32 位 到 64 位 的 过 渡 期 ， 各 种 信息 稀少 且 杂 乱 。 
但 制造 商 非 常 细心 地 考虑 了 HVWVSW 的 向 下 兼容 性 ， 相 信和 能 够 平稳 渡 过 整个 过 渡 期 。64 位 时 代 真 
正 到 来 时 , 与 逆向 分 析 工 具 及 北向 分 析 方 法 相关 的 信息 会 得 到 更 新 升级 , 进行 代码 逆向 分 析 会 更 
轻松 。 
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PE32+ 是 64 位 Windows OS 使 用 的 可 执行 文件 格式 ， 本 章 将 学 习 有 关 PE32+ 的 知识 。 
64 位 Windows OS 中 进程 的 虚拟 内 存 为 16TB, 其 中 低位 的 8TB 分 给 用 户 模式 , 高 位 的 8TB 分 给 
内 核 模 式 。 为 了 适应 改变 后 的 虚拟 内 存 ， 原 PE 文件 格式 (PE32 ) 做 了 如 上 修改 。 


38.1 PE32+ (PE+. PE64) 


64 位 本 地 模式 中 运行 的 PE 文件 格式 被 称 为 PE32+ (或 PE+、PE64 )。 为 了 保持 向 下 兼容 性 ， 
PE32+ 在 原 32 位 PE 文件 (PE32 ) 的 基础 上 扩展 而 来 。 所 以 如 果 你 已 经 熟悉 了 原 PE 文件 格式 ， 那 
么 就 很 容易 熟悉 PE32+ 这 种 新 的 文件 格式 。 下 面 介绍 PE32+ 文 件 格式 时 将 主要 讲解 与 原 PE 文件 格 
式 的 不 同 。 


38.1.1 IMAGE_NT_HEADERS 


typedef struct _IMAGE NT_HEADERS64 { 

DWORD Signature; 

IMAGE FILE HEADER FileHeader; 

IMAGE OPTIONAL HEADER64 OptionalHeader; 
) IMAGE NT HEADERS64, *PIMAGE NT HEADERS64; 


typedef struct IMAGE NT HEADERS (í 

DWORD Signature; 

IMAGE FILE HEADER FileHeader; 

IMAGE OPTIONAL HEADER32 OptionalHeader; 
) IMAGE NT HEADERS32, *PIMAGE NT HEADERS32; 


#ifdef WIN64 


typedef IMAGE NT HEADERS64 IMAGE NT HEADERS; 

typedef PIMAGE NT HEADERS64 PIMAGE NT HEADERS; 

#else 

typedef IMAGE NT HEADERS32 IMAGE NT HEADERS; 

typedef PIMAGE NT HEADERS32 PIMAGE NT HEADERS; 

#endif Hb: Windows SDK 的 winnt.h 


PE32+ 使 用 IMAGE NT_HEADER64 结 构 体 ， 而 PE32 使 用 的 是 IMAGE_NT_HEADER32 结 构 
体 。 这 2 种 结构 体 的 区 别 在 于 第 三 个 成 员 ， 前 者 为 IMAGE_ OPTIONAL HEADER64 ， 后 者 为 
IMAGE OPTIONAL HEADER32。 后 面 的 #}fdef WIN64 预 处 理 部 分 中 , 根据 系统 类 型 , 将 64 位 /32 
位 结构 体重 定义 为 IMAGE NT HEADERS/PIMAGE NT HEADERS, 


38.1.2 IMAGE_FILE_HEADER 


PE32+ 中 IMAGE FILE HEADER 结 构 体 的 Machine 字 段 值 发 生变 化 。PE32 中 该 Machine 的 值 
固定 为 014C。 适 用 于 x64 的 PE32+ 文 件 的 Machine 值 为 8664 ( IA-64 中 PE32+ 文 件 的 Machine 值 为 
0200 )。 以 下 是 Winnt.h 文 件 中 定义 的 对 应 于 各 种 CPU 类 型 的 Machine 值 。 
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IMAGE FILE HEADER.Machine m 





#define IMAGE FILE MACHINE UNKNOWN 0 

#define IMAGE FILE MACHINE 1386 0x014c // Intel 386. - x86 

#define IMAGE FILE MACHINE R3000 0x0162 // MIPS little-endian, 
0x160 big-endian 

#define IMAGE FILE MACHINE R4000 0x0166 // MIPS little-endian 

#define IMAGE FILE MACHINE R10000 0x0168 // MIPS little-endian 

#define IMAGE FILE MACHINE WCEMIPSV2 0x0169 // MIPS little-endian 
WCE v2 

#define IMAGE FILE MACHINE ALPHA 0x0184 // Alpha AXP 

#define IMAGE FILE MACHINE SH3 0x01a2 // SH3 little-endian 

#define IMAGE FILE MACHINE SH3DSP 0x01a3 

#define IMAGE FILE MACHINE SH3E 0x01a4 // SH3E little-endian 

#define IMAGE FILE MACHINE SH4 0x01a6 // SH4 little-endian 

#define IMAGE FILE MACHINE SH5 0x01a8 // SH5 

#define IMAGE FILE MACHINE ARM 0x01cO // ARM Little-Endian 

#define IMAGE FILE MACHINE THUMB 0x01c2 

#define IMAGE FILE MACHINE AM33 0x01d3 

#define IMAGE FILE MACHINE POWERPC 0x01F0 // IBM PowerPC Little- 
Endian 

#define IMAGE FILE MACHINE POWERPCFP 0x01f1 

#define IMAGE FILE MACHINE IA64 0x0200 // IA-64 

#define IMAGE FILE MACHINE MIPS16 0x0266 // MIPS 

#define IMAGE FILE MACHINE ALPHA64 0x0284 // ALPHA64 

#define IMAGE FILE MACHINE MIPSFPU 0x0366 // MIPS 

#define IMAGE FILE MACHINE MIPSFPU16 0x0466 // MIPS 

#define IMAGE FILE MACHINE AXP64 IMAGE FILE MACHINE ALPHA64 

#define IMAGE FILE MACHINE TRICORE 0x0520 // Infineon 

#define IMAGE FILE MACHINE CEF OxOCEF 

#define IMAGE FILE MACHINE EBC OxOEBC // EFI Byte Code 

#define IMAGE FILE MACHINE AMD64 0x8664 // AMD64 (K8) - x64 

#define IMAGE FILE MACHINE M32R 0x9041 // M32R little-endian 

#define IMAGE FILE MACHINE CEE OxCOEE 出 处 : Windows SDK 的 winnt.h 


可 以 看 到 有 多 个 Machine 值 ,它们 分 别 对 应 于 不 同类 型 的 CPU。 此 处 只 需 先 留意 014C ( x86 )、 
0200 ( IA-64 ), 8664 ( x64) 这 3 个 值 就 可 以 了 (其 实 IA-64 环 境 是 很 难 遇 到 的 )。 


38.1.3 IMAGE OPTIONAL HEADER 
与 原来 的 PE32 相 比 ，PE32+ 中 变化 最 大 的 部 分 就 是 IMAGE _OPTIONAL_HEADER 结 构 体 。 


IMAGE OPTIONAL _ HEADER 结构 体 


typedef struct IMAGE OPTIONAL HEADER32 í 
WORD Magic; 
BYTE MajorLinkerVersion; 
BYTE MinorLinkerVersion; 
DWORD  SizeOfCode; 
DWORD X SizeOfInitializedData; 
DWORD | SizeOfUninitializedData; 
DWORD . AddressOfEntryPoint; 
DWORD | BaseO0fCode; 
DWORD X BaseOfData; 
DWORD ImageBase; 
DWORD | SectionAlignment; 
DWORD . FileAlignment; 
WORD MajorOperatingSystemVersion; 
WORD MinorOperatingSystemVersion; 
WORD MajorImageVersion; 
WORD MinorlImageVersion; 
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WORD MajorSubsystemVersion; 
WORD MinorSubsystemVersion; 
DWORD Win32VersionValue; 
DWORD SizeOflmage; 
DWORD | SizeOfHeaders; 
DWORD | CheckSum; 
WORD Subsystem; 
WORD DllCharacteristics; 
DWORD | SizeOfStackReserve; 
DWORD SizeOfStackCommit ; 
DWORD | SizeOfHeapReserve; 
DWORD SizeO0fHeapCommit; 
DWORD LoaderFlags; 
DWORD NumberOfRvaAndSizes; 


IMAGE DATA DIRECTORY DataDirectory[IMAGE NUMBEROF DIRECTORY ENTRIES]; 
) IMAGE OPTIONAL HEADER32, *PIMAGE OPTIONAL HEADER32; 


typedef struct IMAGE OPTIONAL HEADER64 { 


WORD Magic; 

BYTE MajorLinkerVersion; 

BYTE MinorLinkerVersion; 
DWORD SizeOfCode; 

DWORD SizeOfInitializedData; 
DWORD SizeOfUninitializedData; 
DWORD AddressOfEntryPoint; 
DWORD BaseO0fCode; 

ULONGLONG ImageBase; 

DWORD SectionAlignment; 

DWORD FileAlignment; 

WORD MajorOperatingSystemVersion; 
WORD MinorOperatingSystemVersion; 
WORD MajorImageVersion; 

WORD MinorlImageVersion; 

WORD MajorSubsystemVersion; 
WORD MinorSubsystemVersion; 
DWORD Win32VérsionValue; 

DWORD SizeOfImage; 

DWORD SizeOfHeaders; 

DWORD CheckSum; 

WORD Subsystem; 

WORD DlilCharacteristics; 
ULONGLONG — SizeOfStackReserve; 
ULONGLONG — SizeOfStackCommit ; 
ULONGLONG — SizeOfHeapReserve; 
ULONGLONG X SizeOfHeapCommit; 

DWORD LoaderFlags; 

DWORD NumberOfRvaAndSizes; 


IMAGE DATA DIRECTORY DataDirectory[IMAGE NUMBEROF DIRECTORY ENTRIES]; 
) IMAGE OPTIONAL HEADER64, *PIMAGE OPTIONAL HEADER64; 


#define IMAGE NT OPTIONAL HDR32 MAGIC 0x10b 
sdefine IMAGE NT OPTIONAL HDR64 MAGIC 0x20b 


#ifdef _WIN64 


typedef IMAGE OPTIONAL HEADER64 

typedef PIMAGE OPTIONAL HEADER64 
#else 

typedef IMAGE OPTIONAL HEADER32 

typedef PIMAGE OPTIONAL HEADER32 
#endif 


IMAGE OPTIONAL HEADER; 
PIMAGE OPTIONAL HEADER; 


IMAGE OPTIONAL HEADER; 
PIMAGE OPTIONAL HEADER; 








14. Windows SDK 的 winnt.h 
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Magic 
首先 , Magic 字 段 值 发 生 了 改变 , PE32 中 Magic 值 为 010B, PE32+ 中 Magic 值 为 020B。Windows 
PE 装载 器 通过 检查 该 字段 值 来 区 分 IMAGE_OPTIONAL HEADER 结 构 体 是 32 位 的 还 是 64 位 的 。 


BaseOfData 
PE32 文 件 中 该 字段 用 于 指示 数据 节 的 起 始 地 址 ( RVA )， 而 PE32+ 文 件 中 删除 了 该 字段 。 
ImageBase 


ImageBase 字 段 (或 称 成 员 ) 的 数据 类 型 由 原来 的 双 字 (DWORD ) 变 为 ULONGLONG 类 型 
( 8 个 字 节 )。 这 是 为 了 适应 增 大 的 进程 虚拟 内 存 。 借 助 该 字段 ，PE32+ 文 件 能 够 加 载 到 64 位 进程 
的 虚拟 内 存 空间 ( 16TB ) 的 任何 位 置 (EXE/DLL 文 件 被 加 载 到 低位 的 8TB 用 户 区 域 ，SYS 文 件 被 
加 载 到 高 位 的 8TB 内 核 区 域 )。 

DE ——— 9 t: 
AddressOfEntryPoint. SizeOflmage 等 字段 大 小 与 原 PE32 位 是 一 样 的 ,都 是 DWORD 
大 小 (4 个 字 节 ，32 位 )。 这 些 字 段 的 数据 类 型 都 是 DWORD， 意 味 着 PE32+ 格 式 的 文 
件 占用 的 实际 虚拟 内 存 中 ， 各 映像 的 大 小 最 大 为 4GB (32 位 )。 但 是 由 于 ImageBase 的 
大 小 为 8 个 字 节 ( 64 位 )， 程 序 文件 可 以 加 载 到 进程 虚拟 内 存 中 的 任意 地 址 位 置 。 

X PE 文件 的 讲解 中 经 常会 提 到 “映像 ”( Image ) 一 词 ， 希望 各 位 记 住 这 个 常用 术 
语 。 加 载 PE 文件 到 内 存 时 并 非 按 磁盘 文件 格式 原封 不 动 地 进行 , 而 是 根据 节 区 头 中 定 
义 的 节 区 起 始 地 址 、 节 区 大 小 等 属性 加 载 。 所 以 磁盘 文件 中 的 PE 与 内 存 中 的 PE 状态 
是 不 同 的 。 为 了 区 分 ， 我 们 将 加 载 到 内 存 中 的 PE 称 为 映像 。 


栈 & 堆 
最 后 ， 与 栈 和 堆 相 关 的 字段 ( SizeOfStackReserve, SizeOfStackCommit, SizeOfHeapReserve , 


SizeOfHeapCommit ) 的 数据 类 型 变 为 ULONGLONG 类 型 ( 8 个 字 节 )。 这 样 做 也 是 为 了 与 增 大 的 
进程 虚拟 内 存 相 适应 。 


38.1.4 IMAGE THUNK DATA 


IMAGE_THUNK_DATA 结 构 体 的 大 小 由 原来 的 4 个 字 节 变 为 8 个 字 节 。 


IMAGE THUNK _DATA 结 构 体 


typedef struct IMAGE THUNK DATA64 { 


union { j 
ULONGLONG ForwarderString; // PBYTE 
ULONGLONG Function; // PDWORD 


ULONGLONG Ordinal; 
ULONGLONG AddressOfData; // PIMAGE IMPORT BY NAME 
) ul; 
) IMAGE THUNK DATA64; 
typedef IMAGE THUNK DATAG4 * PIMAGE THUNK DATA64; 


typedef struct IMAGE THUNK DATA32 í 


union í 

DWORD ForwarderString; // PBYTE 

DWORD Function; // PDWORD 

DWORD Ordinal; 

DWORD AddressOfData; // PIMAGE IMPORT BY NAME 
) ul; 


) IMAGE THUNK DATA32; 
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typedef IMAGE THUNK DATA32 * PIMAGE THUNK DATA32; 


. #ifdef WIN64 


typedef IMAGE THUNK DATA64 IMAGE THUNK DATA; 

typedef PIMAGE THUNK DATA64 PIMAGE THUNK DATA; 

#else 

typedef IMAGE THUNK DATA32 IMAGE THUNK DATA; 

typedef PIMAGE THUNK DATA32 PIMAGE THUNK DATA; 

sendif 出 处 , Windows SDK 的 winnt.h 


IMAGE IMPORT_DESCRIPTOR 结 构 体 的 OriginalFirstThunk ( INT ) 5jFirstThunk ( IAT ) ^£ 
段 值 都 是 指向 IMAGE THUNK DATA 结 构 体 数组 的 RVA。 


IMAGE IMPORT DESCRIPTORZ&444K 


typedef struct IMAGE IMPORT DESCRIPTOR { 


union í 
DWORD Characteristics; 
DWORD —OriginalFirstThunk; // - INT : RVA of IMAGE THUNK DATA 


) DUMMYUNIONNAME; 
DWORD . TimeDateStamp; 
DWORD ForwarderChain; 


DWORD Name; 
DWORD FirstThunk; // - IAT : RVA of IMAGE THUNK DATA 


) IMAGE IMPORT DESCRIPTOR; 
typedef IMAGE IMPORT DESCRIPTOR UNALIGNED *PIMAGE IMPORT DESCRIPTOR; 出 处 :Windows SDK 的 winint.h 


在 PE32 文 件 中 跟踪 INT、IAT 值 ， 会 见 到 IMAGE THUNK DATA32 结 构 体 ( 大 小 为 4 个 字 节 ) 
数组 ， 而 PE32+ 文 件 中 会 出 现 IMAGE_ THUNK DATA64 结 构 体 (大 小 为 8 个 字 节 ) 数组 。 所 以 跟 


踪 IAT 时 要 注意 数组 元 素 的 大 小 ， 如 图 38-1 所 示 。 
OriginalFirstThunk (INT) FirstThunk (IAT) 
(RVA list) (RVA list) 


013E 


GetCurrentThreadid 


01D1 





GetTickCount" 






IMAGE IMPORT. DESCRIPTOR 


OriginalFirstThunk (INT) 0291 


TimeDateStam : 
E QueryPerformenceThreadCo:-.. er 


ForwarderChain 


Name Z Kernel32.d!" 
a 


FirstThunk (IAT) 





š PE32 : DWORD 数组 u 
: PE32+ : ULONGLONG 数组 ”该 列表 由 PE | 
”装载 器 种 写 


图 38-1 IMAGE_IMPORT_DESCRIPTOR 结 构 体 


图 38-1 中 圆圈 内 的 部 分 就 是 IMAGE _ THUNK DATA 结 构 体 数组 ,一 个 为 INT， 另 一 个 为 IAT。 
装载 PE 文件 时 ，OS 的 PE 装载 器 会 向 IAT 中 写 人 真正 的 API 人 口 地 址 ( VA ), 64 位 OS 中 地 址 ( 指针 ) 
大 小 为 8 个 字 节 ( 64 位 )， 所 以 IMAGE THUNK DATA 结构 体 的 大 小 只 能 增长 到 8 个 字 节 。 
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38.1.5 IMAGE TLS DIRECTORY 
IMAGE_TLS_DIRECTORY 结 构 体 的 部 分 成 员 为 VA， 它 们 在 PE32+ 中 被 扩展 为 8 个 字 节 。 


IMAGE TLS_DIRECTORY 结 构 体 


typedef struct IMAGE TLS DIRECTORY64 { 
ULONGLONG StartAddressOfRawData; 
ULONGLONG . EndAddressOfRawData; 
ULONGLONG X AddressOfIndex; // PDWORD 
ULONGLONG — AddressOfCallBacks; // PIMAGE TLS CALLBACK * 
DWORD — SizeOfZzeroFill; 
DWORD Characteristics; 
) IMAGE TLS DIRECTORY64; 
typedef IMAGE TLS DIRECTORY64 * PIMAGE TLS DIRECTORY64; 


typedef struct IMAGE TLS DIRECTORY32 í 
DWORD — StartAddressOfRawData; 
DWORD EndAddressOfRawData; 
DWORD X AddressOfIndex; // PDWORD 
DWORD — AddressOfCallBacks; // PIMAGE TLS CALLBACK * 
DWORD . SizeOfZeroFill; 
DWORD Characteristics; 
) IMAGE TLS DIRECTORY32; 
typedef IMAGE TLS DIRECTORY32 * PIMAGE TLS DIRECTORY32; 


#ifdef WIN64 


typedef IMAGE TLS DIRECTORY64 IMAGE TLS DIRECTORY; 

typedef PIMAGE TLS DIRECTORY64 PIMAGE TLS DIRECTORY; 

#else 

typedef IMAGE TLS DIRECTORY32 IMAGE TLS DIRECTORY; 

typedef PIMAGE TLS DIRECTORY32 PIMAGE TLS DIRECTORY; 

#endif Háb: Windows SDK 的 winnt.h 


IMAGE TLS DIRECTORY 结构 体 的 StartAddressOfRawData 、EndAddressOfRawData 、 
AddressOfIndex、AddressOfCallBacks 字 自持 有 的 都 是 VA 值 。 所 以 它们 被 扩展 为 64 位 OS 的 地 址 大 
小 (8 个 字 节 )。 对 PE+ 文 件 格式 中 改动 部 分 的 讲解 到 此 结束 。 幸 运 的 是 ，PE32+ 是 在 原 PE32 文 件 
格式 的 基础 上 扩展 而 来 的 ， 如 果 熟 悉 了 PE32 文 件 格式 ， 那 么 就 能 很 轻松 地 掌握 PE32+。 

提示 

CFF Explorer 

向 各 位 推荐 一 个 多 功能 的 PE 实用 工具 一 一 CFF Explorer, 它 就 像 “ 瑞 士 军刀 ”( Swiss 
Army Knife) 一 样 ， 提 供 了 多 样 化 的 功能 ， 并 且 支 持 PE32+ 文 件 格 式 ， 是 一 款 非常 有 
用 的 PE 工具 。 


代码 逆向 分 析 人 员 进 入 64 位 环境 后 会 遇 到 很 多 问题 ， 其 中 最 严重 的 是 , A 8932 bo FCR [8] 
分 析 工 具 无 法 继续 在 64 位 环境 下 使 用 。 我 喜欢 用 的 PEView 工 具 并 不 支持 PE32+ 文 件 格 式 ， 所 以 这 
里 向 各 位 介绍 CFF Explorer， 它 是 一 款 支 持 PE32+ 的 PE Viewer 工 具 ， 如 图 38-2 所 示 。 

http://www.ntcore.com/exsuite.php 

除了 PE Viewer 功 能 外 ，CFF Explorer 还 提供 PE 编辑 器 、PE 重 建 、RVA*- 一 ”RAW 转换 器 、 反 
汇编 锅 等 综合 功能 ， 它 是 一 个 集 多 种 功能 于 一 身 的 强大 的 代码 道 向 分 析 工 具 。 后 面 需要 操作 
PE32+ 文 件 时 ， 和 希望 各 位 多 多 使 用 它 。 
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图 38-2 CFF Explorer 


提示 


使 用 CFF Explorer 工具 可 以 非常 方便 地 剪 掉 或 添加 节 区 。 虽 然 使 用 好 的 工具 可 以 
增加 处 理 的 便利 性 ， 但 是 过 分 依赖 它们 将 无 益 于 提高 自身 的 技术 水 平 。 所 以 刚 开 始 学 
习 代 码 逆 向 分 析 技 术 时 ， 并 不 建议 各 位 使 用 好 的 辅助 工具 ， 可 以 选择 一 些 简 单 的 工具 ， 


学 习 相 关 知识 、 了 解 它们 的 工作 原理 ,然后 通过 练习 进一步 巩固 所 学 的 内 容 ， 这 才 是 
提升 自身 技术 水 平 的 正确 途径 。 


第 39 章 WinDbg 


WinDbg 是 Windows 平 台 下 用 户 模式 和 内 核 模式 调试 工具 ， 它 是 一 个 轻 量 级 的 调试 工具 ， 但 
是 功能 十 分 强大 。 本 章 将 学 习 有 关 WinDbg 调 试 工具 的 知识 ( 参考 图 39-1 )。 
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图 39-1 WinDbg 运 行 画 面 


39.1 WinDbg 


WinDbg 是 微软 发 布 的 一 款 免 费 调试 工具 ， 支 持 用户 模 式 调试 与 内 核 模式 调试 ， 是 一 种 “全 
天 候 ” 的 调试 器 ， 但 主要 还 是 应 用 于 内 核 调 试 。 各 位 可 以 访问 以 下 网 址 下 载 WinDbg 调 试 器 。 

http://www.microsoft.com/whdc/devtools/debugging/default.mspx 

= 
本 章 讲解 的 是 64 位 的 WinDbg, '€ 5 32 位 版 本 在 用 户 界面 结构 、 命 令 组 成 上 基本 
没有 什么 差别 。 


39.1.1 WinDbg 的 特征 


WinDbg 默 认 运 行 在 CUI ( Console User Interface， 控 制 台 用 户 界面 ) 环境 下 ， 用 户主 要 通过 
键盘 而 非 鼠标 来 操作 。 要 适应 这 种 方式 需要 花费 相当 长 的 时 间 ， 可 一 旦 熟悉 起 来 就 会 非常 方便 。 
对 于 习惯 了 OllyDbg 与 IDA Pro 等 GUI 环 境 的 朋友 来 说 , 初次 接触 WinDbg 时 会 感到 非常 陌生 、 非 常 
不 方便 (它们 的 差别 就 像 Windows 用 户 第 一 次 接触 Linux 的 终端 用 户 环 境 时 的 感觉 一 样 ), WinDbg 
中 也 提供 大 量 快捷 键 ， 以 及 额外 的 窗口 〈 反 汇编 、 内 存 、 寄 存 器 、 栈 等 )， 所 以 也 可 以 使 用 类 似 
OllyDbg 形 态 的 方式 调试 ( 当然 ， 与 OlyDbg、IDA Pro 的 GUI 相 比 还 差 很 远 )。 


406 $$ 393: WinDbg 





39.1.2 


符号 
符号 (Symbol ) 指 的 是 调试 信息 文件 (*.pdb )。 使 用 Visual C++ 编译 程序 时 ， 除 了 生成 PE 文 
件 外 ， 还 会 一 起 生成 *.pdb (Program Data Base， 程 序数 据 库 ) 文件 ， 该 文件 包含 PE 文件 的 各 种 


调试 信息 C 变量 /函数 名 、 函数 地 址 、 源 代码 行 等 ) 为 了 帮助 理解 , 各 位 可 以 比较 图 39-2 和 图 39-3。 


运行 WinDbg 





k u= 


Ə:889> u 00000881 
*** ERROR: Module 
*8x128c: 
e8868681 40688128C 
[20008001 48881293 
990838981 48001293 
68884681 40001231 
88908891 42001289 
l09000081' 400912b0 
B8808881 400012ba 
e8eoenel' 400012c4 
legeeeeei1' aeeei2cb 








Command - CAworaii 


^4898128c L20 
load completed but symbols could not be loaded for .exe 


488905858d8eee mov qword ptr [+@xa@18 (80888001'480088018)],rax 
488besdesdeese mov rax,qword ptr [*exae7s (eeeeesei' 48008078)] 
4889054f8cO800 mov qword ptr [4exsefe 【88688861 48009efO)],rax 


488b842498080008 mov rax,qword ptr [rsp+38h} 

48898558e8deeBe mov Qqword ptr [«exaeee 【868688661 4eeBaeen)],rax 
C785268C8088898488C8 mov dword ptr [4ex9eee (89800001'48009ec0)] ,BCB8886489h 
C785288CBB6681688668 mov dword ptr [+6x9ee4 (86888686891 48889ee4}],1 
4s8besaid7deeee mov rax,qword ptr [+@x9@@8 (686888881 48009008) ] 
4889442468 qword ptr [rsp*68h],rax 

488b85397deeee rax,qword ptr [+@x9@1@ (06e8eee1'40003018)] 
4889442478 
ffisse4daeee 
89e5sesceeen 
bseieeesog 
ESe5158668 
33c9 
ff15364depee 
483ded3f4fB8B6 
ffis214deeee 
833dea8ceseose 
750a 
b901800289 
e8be160800 
ffiseeadeese 
baeseaeece 
488bc8 
ffisea4ceeee 
48810488000000 
c3 


mov 







rd pt 78 (00062801 
ecx,1 


*8x29d8 {88888881 466829d8) 





ecx,ecx 





dword ptr [+@x9f7s (20008091 40009f78)],8 
+@x131a (eeeeeee1l'20600131a) 

ecx,1 

+@x29d8 【《BBBB6681 466829d8》 





















|Helloworld! | 
B0098081 40808128C 
| |eeeeeee1' 42001293 
| |geeeeee1' 42881293 
28888881 40001281 
90820881 40001229 
88668861 400012b8 
96868861 488812ba 
eeeeBB81 400012c4 
||geeeeee1' 4B8612cb 
||geeeeee1' 46961208 
866886681 400012d7 
896866861 48661215 
00000001 466812E2 
88868981 498812e23 
866B861 488812ed 
9060088881 468B12f2 
B8008881 488812f4 
68686881 400012fa 








report gsfailure«exae [f:\dd\yctools\crt bld\self 64 amd64\crt\src\gs report.c @ 23 





qword ptr [Helloworld!Gs ContextRecord«ex9s (00000001` 
rax,qword ptr [Helloworid!cS ContextRecord«exfs (eseee 
qword ptr [Helloworld!GS ExceptionRecord«exie (8888888 
4830842490000020 mov rax,qword ptr [rsp*98h] 

4889855608deege mov qword ptr [HelloWorld!GS ContextRecord«exse (eeeegeel" 
C785268c00908904809c0 mov dword ptr [HelloWorld!GS ExceptionRecord (88888881 48 
c785288ceB80e1eeeeee mov dword ptr [Helloworld!GS ExceptionRecorde«exa (00080008 


488985858dee8e mov 
488be85desdeBee mov 
48898054f8ce8Be mov 












488be53d7deeee mov rax,qword ptr [HelloWworld! security cookie (e8eeeseei" 
4889442458 mov Qqword ptr [rsp*68h],rax 

488b805397deeee mov rax,qword ptr [Helloworld! security cookie complement 
48894424708 

ffissceadeeee 

8985908c8000 dword ptr [HelloWorid!DebuggerwasPresent (00000001 49g 
b3eieeeeee ecx,1 

e8e6160e08 HelloWorld! crt debugger hook (eeseeeei' 48eez9dz) 
33c9 


ffisae4deees 


488dedafafeeoe rcx,[Helloworld!GS Exceptii 
















ffis21adeeee g 
833dea8ceeeeee cmp dword ptr [HelloWorld!DebuggerWasPresent (eeeeeeei 40e 
7588 jne HelloWorld! report gsfailure«8xi12e 【8B6B86861 48001312 
b3e1eeeeees mov ecx,1 

esbei68eee call HelloWorld! crt d hook K 

ffiseeadeeee 

baeseagece 

488bc8 mov 

ffisea4ceeee 

4881c4s800eeene add rsp, 88h 

c3 ret 


图 39-3 ”有 符号 文件 的 情形 
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虽然 是 相同 的 PE 文件 , 但 是 符号 文件 的 有 无 决定 了 反 汇 编 代码 的 可 读 性 。 有 符号 文件 时 调试 
更 方便 快捷 。 但 是 通常 只 有 程序 的 编写 者 才 有 符号 文件 ,是 一般 不 会 对 外 发 布 。 所 以 我 们 的 调试 
工作 大 部 分 是 在 没有 符号 文件 的 情形 下 进行 的 。 

@ 安装 符号 文件 

微软 公开 了 Windows OS 系统 库 的 符号 文件 。 在 WinDbg 中 设置 好 符号 的 位 置 后 ， 调 斌 应 用 程 
序 或 驱动 程序 时 会 相当 方便 ( 因为 拥有 了 系统 库 的 调试 信息 )。 在 WinDbg 菜 单 栏 中 依次 选择 
File-Symbol File path 菜 单 ， 弹 出 对 话 框 。 像 图 39-4 这 样 输入 符号 路 径 ， 需 要 时 WinDbg 会 自动 下 载 
与 OS 相 匹配 的 符号 文件 。 











图 39-4 ”Symbol 对 话 框 


39.1.3 ”内 核 调 试 


WinDbg 的 特征 之 一 就 是 可 以 进行 内 核 调试 (Kernel Debugging )。 使 用 WinDbg 进 行内 核 调试 
时 , 一 般 要 使 用 2 台 PC( 调试 器 -被 调试 者 ), 调试 前 需要 通过 Null Modem. 1394, USB, Direct LAN 
Cable 等 将 2 台 PC 连 接 起 来 。 近 来 ， 使 用 虚拟 机 (Virtual Machine ) 技术 可 以 在 同一 台 PC 上 同时 运 
行 调试 器 与 被 调试 者 ， 这 被 称 为 本 地 内 核 调试 (Local Kernel Debugging )， 即 在 运行 WinDbg 的 PC 
上 调试 它 ( 从 Windows XP 起 支持 该 调试 功能 ), 调试 器 的 许多 功能 在 这 种 调试 方式 下 都 受到 限制 ， 
但 是 用 来 查看 一 些 简 单 的 信息 还 是 非常 方便 的 。 

提示 ——————————— M —— M M === 
调试 普通 应 用 程序 时 ,调试 器 与 被 调试 者 都 在 同一 台 PC 中 运行 ,但 内 核 调试 不 同 。 
内 核 调试 中 ， 被 调试 者 为 系统 内 核 ， 即 OS 本 身 ， 所 以 OS 系统 自身 会 暂停 。 因 此 ， 调 
试 内 核 时 一 般 需要 使 用 2 台 物 理 PC。 以 前 SoftICE 调试 器 可 以 完美 地 支持 本 地 内 核 调 
试 ， 受 到 广泛 欢迎 ， 但 是 由 于 它 已 经 停止 开发 ， 不 再 有 版 本 更 新 ， 所 以 调试 内 核 时 只 
好 使 用 WinDbg 调试 器 。 关 于 内 核 调试 的 内 容 已 经 超出 了 本 书 的 讨论 范围 ， 在 此 不 再 
深入 探讨 下面 学 习 使 用 WinDbg 调试 器 调试 64 位 应 用 程序 及 查看 PEB/TEB 等 系统 结 
构 体 。 


下 面 使 用 WinDbg 的 本 地 内 核 调试 功能 简单 分 析 一 下 系统 行为 。 为 了 进行 本 地 内 核 调试 ， 首 
先 要 把 系统 修改 为 调试 模式 。 在 控制 台 窗 口 输入 bcdedit 指 令 , 查看 当前 系统 状态 , 如 图 39-5 所 示 。 
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—— tá 
管理 员 ; CAWindowsiSystem32cmd.exe 


£bootngr? 
partition=\Devic 


arddiskUo lumei 
Boot Man 3 


Windous 
ettings> 


?f-85ca-11e2—b249-ada4cf£ 215305? 
" 
7683-85ca-iie 
<memdias> 


5249-ada4cf 2153855 
Htoo Lsdisplayorder 
iit ineout 


pa 


Hindous m32Swinload.exe 








[439-5 bcdedit 指 令 


在 最 后 一 行 可 以 看 到 1 个 debug 项 目 ， 其 值 为 No， 即 “ 非 调 试 模式 ”。 


的 值 ， 转 换 为 调试 模式 ， 如 图 39-6 所 示 。 


r 7 一 Ra 
E 管理 贡 ; CMWindows\System32\cmd.exe | 








Pm32>bcdedit -debug on 





图 39-6 ”转换 至 调试 模式 




















重启 系统 后 进入 内 核 调试 模式 ， 此 时 本 地 内 核 调 试 功能 变 为 可 用 ( 再 次 使 用 bcdedit 指 令 确 
认 ), 运 行 WinDbg 调 试 器 ,在 菜单 栏 中 依次 选择 File-Kernel Debug 荣 单 ( 快捷 键 Ctrl+K ), 弹出 Kernel 


Debugging 对 话 框 ， 如 图 39-7 所 示 。 








Kernel Debugging 


COM — 1394 | USB NET Local 


Kemel debugging of the loca! machine 








m 3 








图 39-7 内核 调 试 对 话 框 
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选择 Local 选 项 卡 , 然后 单 击 “ 确 定 ”按钮 。 一 段 时 间 后 弹出 WinDbg 和 运行 初始 画面 , 如 图 39-8 
所 示 。 





Microsoft (R) windows Debugger Version 6.12.0002.633 AMD64 
{copyright (c) Microsoft corporation. All rights reserved. 


Connected to windows 7 7600 x64 target at (Mon Oct 25 19:36:33.858 20180 (UTC + 9:800)), ptre4 
Symbol search path is: SRV*c: Wwebsymbols*http://msdl.microsoft.com/download/symbols 
Executable search path is: 

[windows 7 Kernel Version 768e MP (2 procs} Free x64 

Product: WinNt, suite: TerminalServer SingleUserTS Personal 

| [Built by: 7608.16617.amd&afre.win7 gdr.160618-1621 

















图 39-8 本 地 内 核 调试 


首先 出 现 的 是 基于 控制 台 的 用 户 界 面 (看 上 去 包含 各 种 强大 功能 )。 初 始 运行 画面 中 显示 的 
是 基本 的 系统 信息 以 及 内 核 基 址 , 该 地 址 为 ntoskrnl.exe 文 件 的 装载 地 址 。Ntoskrnl.exe 其 实 是 驱动 
程序 文件 ， 指 的 是 Windows 内 核 本 身 。 从 技术 上 说 ，Windows 内 核实 体 是 Ntoskrnl.exe 驱 动 程序 文 
件 的 内 存 装载 映像 。 接 下 来 输入 简单 指令 , 查看 ntoskrnl!1ZwCreateFile() API 的 实际 代码 , 如 图 39-9 
所 示 。 





{fiko u Tum NN 
gnt!zwcreaterile: 


fffffseB'e32c9748 488bc4 mov rax,rsp 
fffff8BB 032c9743 fa cli 
fffffs00'032C9744 4883ec18 sub rsp,18eh 
fffff809'032c9748 5e push rax 
fffff808'832c9749 9c pushfq 
fffffa88 832c9743 6318 push 18h 
g[fffffsee'es2c974c 488desdd27eeee lea rax,[nt!Kiservicelinkage (fffffsee'es2cbfa38)] 
fffff888 es2c9753 se push rax 
(fffffsee'es2c9754 bss2eeeeee mov eax,52h 
fffff888 e32c9759 e9225feee8 jmp mtiKiServiceInternal (fffffsee'ea2cfese) 


图 39-9 ZwCreateFile() API 


ZwCreateFile() API 的 代码 相当 简单 ， 它 将 服务 编号 (52) 设置 到 EAX 寄存 器 ， 然 后 跳 转 到 
KiServiceInternal() R2 ( 函数 的 参数 在 寄存 器 与 栈 中 )。 其 实 ， 大 部 分 ZwXXX 系 列 函 数 都 是 由 这 
种 结构 构成 的 。 可 以 继续 跟踪 KiServiceInternal() API 查 看 更 详细 的 代码 。 查 看 系统 内 核 代 码 如 此 
方便 ， 但 是 若 想 正 式 调 试 系统 内 核 ， 应 当 采 用 PC to PC 或 虚拟 机 方式 连接 。 


39.1.4 WinDbg 基本 指令 


下 面 简 单 整理 WinDbg 基 本 指令 ， 调 试 64 位 应 用 程序 或 系统 内 核 时 会 经 常 使 用 它们 (更 详细 
的 说 明 请 参考 WinDbg 帮 助手 册 )， 如 表 39-1 所 示 。 
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表 39-1 WinDbg 基 本 指令 
m 令 说 了 明 & 用 
u Unassemble u: 显示 下 一 条 指令 
u address; 显示 地 址 之 后 的 指令 
u L10; 显示 10 行 指令 
ub; 显示 上 一 条 指令 








t Trace(F11) Step Into 
p Pass(F10) Step Over 
g Go(Run) g: 运行 
g address; 运行 到 地 址 处 
d Dump daddress; 显示 地 址 内 容 


db address: byte 
dd address: dword 
dq address: qword 


r Register r: 显示 寄存 器 
rregister; 仅 显 示 指 定 寄 存 器 
bp Break Point bp: 设置 断 点 


bl; 显示 断 点 列表 
bc: BP Clear (删除 断 点 ) 


Im Loaded Module Im: 显示 被 调试 进程 中 加 载 的 模块 (E) 
dt Display Type dt struct name: 显示 结构 体 成 员 

dt struct name address; 映射 地 址 到 结构 体 并 显示 
!dh Display PE Header !dh loaded address: PE Viewer 


WinDbg 支 持 的 指令 超过 数 十 种 ， 且 各 种 指令 的 使 用 方法 灵活 多 样 。 希 望 各 位 反复 练习 使 用 
WinDbg 调 试 需 ， 直 到 能 够 熟练 进行 各 种 调试 。 
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本 章 将 学 习 64 位 环境 中 的 调试 方法 。64 位 环境 中 ( x64+Windows OS 64 位 )，32 位 进程 与 64 
位 进程 彼此 共存 ， 所 以 在 64 位 环境 中 应 当 能 够 调试 PE32 与 PE32+ 这 2 种 文件 。 本 章 学 习 过 程 中 还 
要 就 各 种 情形 下 调试 的 热点 展开 讨论 ， 让 大 家 进一步 加 深 对 64 位 环境 下 调试 的 理解 。 

提示 ——————— ———————— Ó— M 
本 章 讲解 中 将 不 会 涉及 有 关 1A-64 调试 的 内 容 。IA-64 (Itanium ) 搭载 于 高 性 能 服 
务 器 中 ， 我 们 一 般 不 会 接触 到 。 由 于 WinDbg 与 IDA Pro 都 支持 x64 与 IJA-64， 所 以 可 
以 正常 使 用 它们 调试 I[A-64。 需要 注意 的 是 , IA-64 的 指令 体系 不 同 于 x64/x86,， 详 细 分 
析 代 码 时 请 参考 Intel 用 户 手 册 。 


40.1 x64 环境 下 的 调试 器 


x64 世 片 从 诞生 之 日 起 就 完全 支持 X86, 所 以 32 位 0S 与 64 位 OS 都 可 以 安装 。Windows 64 位 OS 
不 仅 可 以 运行 64 位 进程 (PE32+ 类 型 )， 还 可 以 同时 ( 向 下 兼容 ) 运行 32 位 进程 (PE32 类 型 ),。 我 
在 32 位 /64 位 CPU、OS、 进 程 彼此 共存 的 情形 下 整理 了 各 OS 与 进程 可 用 的 调试 器 ( 参考 表 40-1 )。 


表 40-1 各 OS 及 PE 文件 对 应 的 调试 器 





OS PE32 PE32+ 
32 位 OllyDbg. IDA Pro、WinDbg IDA Pro(Disassemble only) 
64 位 OllyDbg, IDA Pro, WinDbg IDA Pro, WinDbg 


在 32 位 OS 中 无 法 调试 PE32+ 文 件 , 但 是 使 用 IDAPro 可 以 查看 PE32+ 文 件 内 的 反 汇 编 代码 。 另 
外 ， 令 人 遗憾 的 是 ，OllyDbsg 调 试 器 并 不 支持 PE32+ 文 件 。 因 此 ， 进 行 PE32+ 调 试 时 必须 在 64 位 
OS 中 使 用 IDA Pro 正 式 版 本 和 WinDbg 64 位 版 本 。 下 面 通过 一 个 练习 文件 ( WOW64Test_x64.exe ) 
来 学 习 在 64 位 环境 ( x64& Windows 7 64 位 ) 下 调试 的 方法 。 


40.2 64 位 调试 


本 节 继 续 以 前 面 的 WOW64 测 试 文件 ( WOW64Test x64.exe ) 作为 练习 示例 进行 64 位 调试 
练习 。 


练习 示例 : WOW64Test 


先 看 示例 文件 的 源 代码 ( WOW64Test.cpp )。 


#include “stdio.h” 
#include “windows.h” 
#include “Shlobj.h” 
#include “tchar.h” 
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#pragma comment(lib, “Shell32.lib”) 


int _tmain(int argc, TCHAR* argv[]) 

t 

NULL; 

INVALID HANDLE VALUE; 
(0,3; 


HKEY hKey 
HANDLE hFile 
TCHAR — szPath[MAX PATH] 


LLELE g 044fg 

// system32 folder 

if( GetSystemDirectory(szPath, MAX PATH) ) 
t 


_tprintf(L”1) system32 path = %s\n”, szPath); 
j 


//////////////// 
// File size 
_tcscat_s(szPath, L”VNkernel32.dll”); 
hFile = CreateFile(szPath, GENERIC READ, 0, NULL, 
OPEN EXISTING, FILE ATTRIBUTE NORMAL, NULL); 

if( hFile !- INVALID HANDLE VALUE ) E 
t 

 tprintf(L"2) File size of "%sN” = %dNn”, 

szPath, GetFileSize(hFile, NULL)); 

CloseHandle(hFile); 


} 
/7777//7//77/77// 
// Program Files  : ; » 
if( SHGetSpecialFolderPath(NULL, szPath, 
CSIDL PROGRAM FILES, FALSE) ) 


t 
} 


Z77/777/77/77/777/ 

// Registry 

if( ERROR SUCCESS == RegCreateKey(HKEY LOCAL MACHINE, 
L"SOFTWARENWReverseCore", &hKey) ) 


 tprintf(L"3) Program Files path = %sNn”, szPath); 


1 
RegCloseKey (hKey) ; 
 tprintf(L"4) Create Registry Key : HKLMNNSOFTWARENN 
ReverseCoreNn") ; 


} 


return 0; 


WOW64Test 示 例 程序 非常 简单 ， 它 先 调 用 GetSystemDirectory0 、CreateFile0 、SHGetSpecial- 
FolderPath()、RegCreateKey() 这 4 个 API， 然 后 输出 运行 结果 。64 位 系统 环境 下 ，X86 应 用 程序 是 
通过 WOW64 模 式 运行 的 ， 所 以 系统 文件 夹 与 重要 的 注册 表 键 都 要 重 定向 ， 本 示例 明确 表明 了 这 

借助 Visual C++ 2010 Express Edition 工 具 将 上 述 源 代码 分 别 编 译 为 x86( WOW64Test_x86.exe ) 
与 x64 程 序 ( WOW64Test x64.exe )， 然 后 运行 ， 如 图 40-1 所 示 。 

下 节 分 别 调试 这 2 个 程序 。 

提示 

在 Windows XP/Vista/7 64 位 系统 下 才能 正常 调试 示例 文件 。 
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cT res "DI 
| d EEA: CNWindows\System32Vcmd exs a Em 


icrosoft Windows [Version 6.1.7?76881 


t Corporation. All rights reserved. 











图 40-1 WOW64Test x86.exe & WOW64Test x64.exe 运 行 画面 


40.3 PE32: WOW64Test x86.exe 


Windows 64 位 OS 中 ，PE32 文 件 ( SYS 文件 除外 ) 通过 WOW64 模 式 运 行 。 原 32 位 环境 中 使 用 
的 道 向 分 析 工 具 大 部 分 可 以 照常 使 用 ,但 是 OllyDbg 1.10 对 x64 环 境 支持 得 并 不 好 ， 建 议 使 用 
OllyDbg 2.0 版 本 。 

Eh n aa m 
(1) OllyDbg 1.10 无 法 直接 在 WOW64 环境 中 运行 ， 但 是 安装 Olly Advanced ( X 
AdvancedOlly ) 插件 后 ， 复 选 x64 选项 即 可 正常 运行 (参考 图 40-2 )。 

http://tuts4you.com/download.php?view.75 

Olly Advanced 是 一 个 非常 有 用 的 插件 ， 它 修正 了 OllyDbg 本 身 的 Bug， 也 提供 了 
反 调 试 等 功能 。 大 部 分 OllyDbg 用 户 都 安装 使 用 。 

(2) 使 用 VC++ 2010 编写 的 基于 控制 台 的 EXE 文件 中 ， 用 户 代码 一 般 都 存在 于 代 
码 节 区 的 顶端 位 置 ， 请 记 住 这 一 点 


Olly Advanced 127 


Bugfixes Additional Options 


| 
Additional Options 2 | 








Arti-Debug | Anti-Debug 2 | 
Additional options 
ÍV. Enable Advanced CTRL«G 
É Skip "Entry point outside code" 
[^ Skip "More than 1000 patches” 





l 
e 

[^ Skip compressed code warning and 
c t | 

[ Skip "Load dll" and 
> 


C 
|. 64 Compatibity-mode (single-step] 


Ok Cancel About [|| 


MaRKuS TH-DJM ©2009 


| 











图 40-2 设置 Olly Advanced 





Ax 
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40.3.4 EP 代码 


打开 WOW64Test_x86.exe 文 件 后 ， 调 试 器 自动 暂停 在 EP 代码 处 ， 如 图 40-3 所 示 。 


TE 












f0480141C 
0800401422 
80461428 
B6840142F 
20401436 
9040143D 
88401444 
00431448 













前 面 已 经 分 析 过 由 VC++ 2010 工 具 生 成 的 (基于 控制 台 的 ) PE32 文 件 的 EP 代码 ， 


> 


~ ES 95FEFFFF ` 









SBFF 

ss PUSH EBP 

SBEC MOU EBP,ESP 

81EC 29030000 SUB ESP, 328 

R3 DSBE4000 MOU DWORD PTR DS: C548BEDS],EAX 


8900 D4BE4000 


66: BEAD E4BE4000 
66:8C1D CØBE4000 
66:8C0S BCBE4000 
66:8C25 ESEE4865 
66:8C2D B4BE4000 











DWORD PTR DS:[40BED4], ECX 
end PTR DS:L48BEDB1, EDX 


DWORD PTR DS: [48BECS],ESI 

DWORD PTR DS:[40BEC4], EDI 

WORD PTR DS: [4 "SS Superfluous operand size 
WORD PTR DS:L48BEE41,CS Superfluous operand size 
WORD PTR DS:L48BECO1,DS Superfluous operand size 
MORD PTR DS: L4GBEBCI, ES Superfluous operand size 
WORD PTR DS:L48BEES].FS Superfluous operand size 
WORD PTR DS:L40BEB41, GS Superfluous operand size 












图 40-3 OllyDbg: WOW64Test x86.exe 的 EP 代码 


述 。 接 下 来 直接 查找 main() 函 数 。 


40.3.2 Startup 代码 


跟踪 004013F5 地 址 处 的 JMP 0040128F18 >, 


Ba4O0129FT 
80401291 
00401296 
004901298 
00401290 
804012H3 
aüa4812h5 
B04812A5 
00401 2A? 
04012A 
eeo4ot2nn 
G64012B8 
20401285 
20460128C 
B04012BE 
864612C 
00401203 
684812CB 
904012D2 
00401204 
20401209 
2884612E6 
&S4612E2 
004012E9 
B04812EB 
004012ED 
904012F3 
Q064012F5 
@94912F9 
004012FE 
60401300 
00401302 
03401204 
20401309 
00401306A 


09040122C 
0040132E 
00401333 
60401334 
68040133A 
00480123F 
20401244 
90461542 
29040134E 
004901350 








tttm nmn 





"E 14 R TEN 
68 309C4000 
ES 05140000 


Fê 
3935 88DC4000 
75 UB 
56 
56 
ER øl 
56 
FF15 288846808 


B8 4DSR0900 
66:3905 00004000 


EB 
A1 3C004000 
OO 50450000 


75 
B9 0BO010009 
66:3988 18004000 


*^| 75 DC 
+ |83B8 748804860 GE 
^| v6 D3 


33C9 

3980 E2004000 
ØF95C1 

894D E4 

ES 61260000 
Ssca 

75 88 

6A 1C 

E8 SDFFFFFF 
59 

ES 05240000 
esca 

75 08 

6A 10 

ES 4CFFFFFF 
59 

ES ?F218868 
S975 FC 

ES B an 1F8099 
53 og 

6A 1B 

ES 79180000 
59 

FF15 1C804000 


ES 061E0000 
Ssca 
79 88 


图 40-4 OllyDbg: 





出 现 如 图 40-4 所 示 的 Startup 代 码 。 


[PUSH OFFSET G8409C30 
CALL OG4üceno 


XOR ESI,ESI 
CMP DWORD PTR DS:L48DC88J,ESI 
JNE EST. 004912B0 


CALL DWORD PTR DS:L<&KERNEL32.HeapSetInformation>l 
MOU EAX, SA40 

CMP WORD PTR DS:[<STRUCT IMAGE DOS HERDER?1,RX 

JE SHORT 00401203 

MOU DWORD PTR SS:[EBP-1Cl,ESI 

JMP SHORT 004012F9 

MOU EAX, DWORD PTR 0S: [40003C] 

CMP DWORD PTR DS:[EAX+<STRUCT IMRGE DOS HERDER?1, 4550 
JNE SHORT 60040128E 

MOU ECX, 108 

CHP WORD PTR DASE ERK+400018; cx 

JNE SHORT 654512BE 

CHP DWORD PTR Sd s i BE 

JBE SHORT OMM 

XOR ECX, ECX 

CHP DWORD PTR DS: [EAX+<STRUCT IMAGE NT. SIGNRTURE»31,ESI 
MOU DWORD PTR SS:[EBP-1C], ECX 

CALL SF 


00403 
TEST EAX, EAX 
JNE SHORT 09040130A 
PUSH 1C 


CALL 00401266 
POP ECX 


CALL 004037E4 

TEST EAX, EAX 

JNE SHORT 90408131E 
PUSH 10 

CALL 00401266 

POP ECX 


CALL 80040349F 
MOU DWORD PTR SS:[EBP-4],ESI 
CALL DM 


TEST ERX,ERX 

JE SHORT 604019224 
PUSH 1B 

CALL 00480. 
POP ECX 
CALL DWORD FTR DS:[<&KERNEL32.GetCommandL inell>J 
MOU DWORD PTR DS:[400C84], EAX 

CALL 00403202 


MOU DWORD PTR DS:[40B0C4], EAX 
CALL 00403154 


TEST _EAX, EAX 


JNS SHORT 094813SR 


WOW64Test_x86.exe 的 Startup 代 码 


pref iu 
pref in 
prefix 
prefix 
pref is 
prefix 


IEAA BERE 


WOW64Test x86 是 一 个 控制 台 程 序 , 所 以 Startup 代 码 内 部 存在 调用 main0 函 数 的 CALL 指 令 。 
若 刚 开始 学 道 向 分 析 技 术 时 遇 到 CALL 指 令 ， 建 议 跟踪 进入 函数 ， 详 细 了 解 各 函数 的 代码 。 
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ER —— T<=—q Cl 3MWƏPOClIO  PIKaəhT TC VVQ]JIzIƏhQÜaI 
刚 开始 的 时 候 不 要 跟踪 进入 得 太 深 , 深入 1-depth 查看 代码 即 可 。 熟悉 调试 之 后 再 
逐渐 加 深 ， 熟 悉 更 深层 次 的 代码 。 这 种 训练 对 于 把 握 Visual C++ 的 Startup 代码 与 用 户 
代码 的 区 别 有 很 大 帮助 。 一 名 经 过 良好 训练 的 逆向 分 析 人 员 在 实际 的 代码 分 析 过 程 中 
能 够 快速 跳 过 Startup 代码 ， 直 接 找到 用 户 代 码 ， 即 使 在 比较 混乱 的 地 方 也 不 会 轻易 迷 
路 而 徘徊 不 定 。 





40.3.3 main) Až 


下 面 查找 main0) 函 数 。 已 知 信 息 罗列 如 下 ， 我 们 将 通过 这 些 信息 来 查找 main() 函 数 。 

(1) 被 调试 者 ( WOW64Test_x86.exe ) 是 一 个 基于 控制 台 的 应 用 程序 。 

由 此 我 们 可 以 猜想 到 ，WOW64Test x86.exe 调 用 main0 函 数 前 会 先 调 用 GetCommandLineO 
API。 这 是 因为 调用 main0 函 数 之 前 需要 先 把 main(int argc,char* argv[]) 函 数 的 参数 存储 到 栈 ( x64 
环境 下 为 寄存 器 ) 中 。 也 就 是 说 ， 在 GetCommandLine() API 设 置 好 断 点 后 ， 查 看 返回 地 址 即 可 查 
找到 调用 main(0) 函 数 的 部 分 。 此 外 ， 调 用 main0 函 数 前 argc 与 argv 参 数 被 存储 在 栈 ( x64 环 境 下 为 
寄存 器 ) 中 ， 仔 细 查 看 栈 (或 者 寄存 器 ) 也 能 直接 找到 调用 main0) 函 数 的 部 分 。 

(2) 调用 GetSystemDirectory()、GetFileSize()、CreateFile() 等 API。 

应 用 程序 中 使 用 的 API 很 明确 时 ， 直 接 在 相应 API 上 设置 断 点 ， 通 过 其 返回 地 址 也 可 以 直接 
查找 并 进入 main0 函 数 代 码 。 

(3) 在 画面 中 输出 由 上 述 API 获 取 的 信息 。 

使 用 OllyDbg 强 大 的 字符 串 检索 功能 ， 可 以 直接 查找 并 定位 到 指定 代码 处 。 

下 面 我 们 使 用 第 三 项 来 查找 main0 函 数 。 在 OllyDbg 代 码 窗口 的 鼠标 右键 菜单 中 选择 Search 
for-All referenced strings 项 ， 如 图 40-5 所 示 。 





UNICODE "*kernel32.dl 


PUSH OFFSET 00408184 
PUSH OFFSET 00408B6C 
98| PUSH OFFSET 88408B3C 
C|PUSH OFFSET 00408834 
PUSH OFFSET GaG4GBB2C 
20402022 PUSH OFFSET 86468REB |UNICODE rosoft Uisual C** Runtime Library" 
| | 904! B357A| PUSH OFFSET 00408C40 |UNICODE " "ERNEF 32 DLL” 

4937 PUSH OFFSET 00408C40 |UNICODE * AEL Re: DLL” 





PUSH OFFSET Ga4GSC?C |ASCII "FlsRÑllo 
904 633 PUSH OFFSET 00408C70 REGIT "E isGetUa lue" 
| B6483210 PUSH OFFSET 68684688C64 I 7FisSetUalue" 
B6483328| PUSH OFFSET 86488C5SC -| 
PUSH OFFSET 00409080 ICODE "USERS32.DLL'" 
78| PUSH OFFSET 004090A4 |RSCII MessageBox” 
5594| PUSH DEEST 00409094 |RSCII "Ge t Ret [vell indow'" 
SET 9080 |RSCII "GetLastRct ivePopup" 

4 |RSCII "GetUserObjectInformat ionU" 

RSCII EE ndoHsvat ion" 


Sn 
OOND 





2C |UNICODE "C 

















图 40-5 OllyDbg: All referenced strings 功 能 


图 40-5 中 列 出 了 程序 中 出 现 的 所 有 字符 串 ， 双 击 项 端的 00401058 地 址 即 显示 出 main0 函 数 代 
码 ， 如 图 40-6 所 示 。 

可 以 清楚 看 到 ， 函 数 栈 帧 从 401000 地 址 开始 ， 即 401000 地 址 是 main0 函 数 的 开始 部 分 (该 地 
址 就 是 第 一 个 .text 节 区 的 起 始 地 址 )。 在 64 位 环境 中 调试 PE32 文 件 的 方法 与 在 32 位 环境 中 的 调试 
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方法 是 一 样 的 。 但 是 部 分 代码 逆向 分 析 工 具 在 64 位 环境 中 无 法 正常 使 用 ， 所 以 使 用 前 必须 确认 。 












.| SUB ESP.210 
.| HOU ERX,DWORD PTR DS:[408B0041 
:| WOR EAX, EBP 






DWORD PTR SS: [LOCRL。 11,ERX 
. KOR EAX, EAX 
“| PUSH 206 Rr33 = 206 
*|PUSH ERX Rrg2 => 0 
*|LER EE. [LOCRL.131+2] 
PU: Argl 


: mou DUIGRD PTR SS: [LOCAL. 1321, 6 
-| MOU WORD PTR SS:[LOCAL. 1311,AX 
404E20 


3 | -| ADD ESP, BC 

"| PUSH_104 
. LER EDX, [LOCAL. 1311 
. EALL DWORD PTR DS: f«8KERHELS2. GetSystemDirectoryW>] 
* | TEST_EAX, EAX 
*jJE SHORT 00491965 
. LER Fer LO 1311 


WOedTesr, «8S6. B0484E2G 










RR 
ADD ESP,8 
PUSH ESI 


"mm 





H OFFSET 884899F8 Rra3 = UNICODE '"^kernel32.dll" 
. LER ECX, LLOCRL. 1311 
"| PUSH 184 Arg2 = 
PUSH ECX Aral = FSET LOCAL. 131 
CRLL 11F1 WOWe4Test. 486,004811F1 
ADD ESP,BC 
PUSH 6 
PUSH 88 
PUSH 3 
“| PUSH 
*|PUSH 1 
*|PUSH Se8aoaaaa 


i CEA EDR, ELOCAL. 1311 
ú0401658|| -| CALL DWORD PTR DS:[<&šKERNELS2.CreateFilelU>l 


图 40-6 OllyDbg: main(0) 函 数 











40.4 PE32+: WOW64Test x64.exe 


要 在 64 位 环境 中 正常 调试 PE32+ 文 件 ， 需 要 使 用 IDA Pro 或 WinDbg 调 试 工具 ( 参考 表 40-1 )。 
此 处 我 们 选用 免费 的 WinDbg 调 试 器 来 调试 PE32+ 文 件 ， 学 习 调 试 过 程 中 注意 与 前 面 介绍 过 的 
OllyDbg+PE32 的 调试 方法 比较 。 

运行 WinDbg 64 调 试 器 , 使 用 Open Executable... 菜 单 ， 开始 调试 WOW64Test x64.exe 文 件 ， 如 
图 40-7 所 示 。 





Open Source File... Ctrl=O 
Close Current Window Ctrl+F4 





Open Crash Dump... Ctrl«D 





Connect to Remote Session... Ctrl-R 
Connect to Remote Stub... 
Kernel Debug... Ctrl-K 


图 40-7 Open Executable3j "f 


40.4.1 系统 断 点 


如 图 40-8 所 示 ， 调 试 暂停 在 系统 断 点 ( ntdll.dll 区 域 )。 由 于 WinDbg 中 没有 “暂停 在 进程 EP 
处 ”的 选项 ， 所 以 需要 从 当前 暂停 位 置 直接 转 到 EP 处 。 
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{copyright (c) Microsoft Corporation. All rights reserved. 


andLine: C:Wwork|WOWe4Test x64.exe 
Symbol search path is: SRV*c: Wwebsymbols*http://msdl.microsoft.com/download/symbols 
¿Executable search path is: 


96666888 773f8868 80689889068 77a9be9e  ntdll.dll 
: 88eeoeoe'776deoe0 G0000000' 777efG00 :WindowsVsystem32Wkernela2.d11 
: 900007fe'fdbbeeee ee0007fe' fdcibeee : Windows VSystem32 KERNELBASE.d11 
: 968887fe "ff980868 0600907fe ffasbeee :\windows\system32\ADVAPI32.d11 
: 080807fe'feia0000 009007fe' fe23fo00 : Windows Vsystem32Wmasvcrt.dll 
: 88e007fe' ffa59898 000007fe' ffa7feo0 : Windows \SYSTEM32\sechost.d1l 
: 988887fe "fdede6ee 8868687fe fdffeBee :\Windows\system32\RPCRT4.d11 
: 6080007fe' fesf9988 000007fe' ff276008 1 WindowsYsystem32XSHELL32.d11 
: 89086087fe fe2f8888 000007fe'fe361000 : \windows\system32\SHLWAPI. dll 
: 8008007fe'fei:0080 000007fe'fe197000 1 Windows VAsystem32XGDI32.dll 
: 68eoecen' 777f8000 G0000000 778eae00 : Windows |system32AUSER32.d1l 
: 000007fe'ffaco000 000007fe' ffaceoo0 :WüindowsVsystem32NALPK.d11 
: 800807fe' ff390000 000007fe' ff45aBG8 :XaindowsVsystem32YUSP10.dll 

T ode 3802063 (first chance) 


Onnnnoannaoanonon 











图 40-8 WinDbg: 系统 断 点 


40.4.2 EP 代码 
首先 要 获取 EP 地 址 ， 输 入 显示 进程 PE 文件 头 的 命令 ， 如 图 40-9 所 示 。 


!dh «module name 或 Loading address» 





File Type: EXECUTABLE IMAGE 
FILE HEADER VALUES 
8664 machine (X64) 
5 number of sections 
4CC8353A time date stamp Thu Oct 21 21:42:34 2018 


9 file pointer to symbol table 

@ number of symbols 

Fe size of optional header 

23 characteristics 
Relocations stripped 
Executable 
App can handle »2gb addresses 





ONAL HEADER VALUES 
208 magic $ 
10.68 linker version 
7E88 size of code 
4C00 size of initialized data 
8 size of itialized data 








图 40-9 WinDbg: 显示 PE 文件 头 


EP 地 址 (RVA ) 为 142C， 使 用 g 命 令 转 到 该 地 址 处 ， 如 图 40-10 所 示 。 


g<address> 





ModLoad: 820087fe ff958888 00686867fe ff97e880 C:\Windows\system32\IMM32.DLL 
|[ModLoad: 8eeee7fe'ff28eeee 868687fE ff389688 C:\Windows\system32\MSCTF.d11 

*** ERROR: Module load completed but symbols could not be loaded for wOw64Test_x64.exe 
WOWEATESt X64+BX142C 







图 40-10 WinDbg: EP 代码 


418 第 403 64 位 调试 





WinDbg 默 认 仅 显示 1 行 命令 ， 使 用 下 列 命令 增加 指令 显示 的 条 数 。 
u <address>L<line number> 

图 40-11 是 使 用 Visual C++ 2010 工 具 创 建 的 PE32+ 文 件 的 EP Startup 代 码 。 请 将 它 与 图 40-3 中 
PE32 文 件 的 EP 代码 比较 。CALL+JMP 指 令 结构 是 一 样 的 。 








rz ma 
Command - CWwork 


9:eem» u eip L18 
MOW&4Test x64-9x142c: 
80080001'4080142C 4883ec28 sub rsp,28h 

|jeseeeeei'4080143e es072a8088 WOWGATest x64«ax3e3c (90800001' 40903e3C) 
88000001'40001435 4883C428 
















jJgeeeeee1'4ebe1iasf cc 
||eeeeeee1" 40001440 48894C2408 mov qword ptr [rsp*8],rcx 
(00000001 48881445 4s81ec88000000 sub rsp,88h 
'Jeeeeeeei'4eBeiaac 4g8dededbfeeee lea rcx,[WOWe4Test x64«exdace (00082881 40GBd360)] 
|feeeeeeei'4eseilass3 ffis1f7ceaee call Qqword ptr [WOW&4Test x64-0x9078 (00800001'40009078 
8868986881 ` 486881459 assbesfsbfegeee mov rax,qword ptr [WOWe4Test x64«exd458 《866B8f61 4868 
[2000000140001460 4889442458 mov qword ptr [rsp*58h],rax 

| 888eB88681 "468B81465 4533C@ xor rsd,rsd 

||geeseoei'4eeeisss 4880542368 lea rdx, [rsp«6en] 

026886881 53866146d 488b4C2458 mov rcx,qword ptr [rsp+58h] 
|[eeeeeee1'aeee1a72 e8f5758eee call WOWeATest x64«exSsaec (2080020148008360) 





图 40-11 WinDbg: EP 代码 


40.4.3 Startup 代码 


跟踪 (t) 位 于 0000000140001439 地 址 处 的 JMP 指 令 ， 增 加 指令 显示 的 条 数 后 [ueipL60]， 可 
以 看 所 有 Startup 代 码 ， 如 代码 40-2 所 示 。 





代码 40-2 WinDbg: Startup 代 码 
0:000 u eip L60 
WOW64Test x64+0x12b4: 


00000001`400012b4 48895c2410 mov qword ptr [rsp+10h],rbx 
00000001'400012b9 57 push rdi 

00000001'400012ba 4883ec30 sub rsp,30h 
00000001'400012be b84d5a0000 mov eax,5A4Dh 


00000001'400012c3 66390536edffff  cmp word ptr [WOW64Test x64 
(00000001' 40000090) ] ,ax 


00000001'400012ca 7404 je WOW64Test x644«0x12d0 (00000001'400012d0) 

00000001'400012cc 33db xor ebx,ebx 

00000001'400012ce eb38 jmp WOW64Test x6440x1308 (00000001'40001308) 

00000001'400012d0 48630565edffff movsxd rax,dword ptr [WOW64Test x64«0x3c 
(00000001'4000003c)] 

00000001'400012d7 488d0d22edffff lea rcx,[WOW64Test x64 (00000901'400000090)] 

00000001'400012de 4803c1 add rax,rcx 

00000001'400012e1 813850450000 cmp dword ptr [rax],4550h 

00000001'400012e7 75e3 jne WOW64Test x64«0x12cc (00000001'400012cc) 

00000001'400012e9 b90b020000 mov ecx,20Bh 

00000001'400012ee 66394818 cmp word ptr [rax+18h] ,cx 

00000001'400012f2 75d8 jne WOW64Test x64«0x12cc (00000001'400012cc) 

00000001'400012f4 33db xor ebx,ebx 

00000001'400012f6 83b8840000000e cmp dword ptr [rax*84h] , OEh 

00000001'400012fd 7609 jbe WOW64Test x64-0x1308 (00000001'40001308) 

00000001'400012ff 3998f8000000 cmp dword ptr [rax«0F8h] ,ebx 

00000001'40001305 0f95c3 setne bl 

00000001'40001308 895c2440 mov dword ptr [rsp*40h],ebx 

00000001'4000130c e8d32a0000 call WOW64Test x644«0x3de4 (00000001'40003de4) 

00000001'40001311 85c0 test eax,eax 


00000001'40001313 7522 jne WOW64Test x64+0x1337 (00000001'40001337) 


00000001`40001315 


00000001`4000131c 
00000001' 4000131e 
00000001' 40001323 
00009001' 40001328 
00000001'* 4000132d 
00000001' 400901332 
00000001' 40001337 
00000001' 4000133c 
00000001' 4000133e 
00000001' 40001340 


00009001' 40001347 
00000001' 40001349 
00000001' 4000134e 
00000001' 40001353 
00000001' 40001358 
00000001' 4000135d 
00000001' 40001362 
00000001' 40001367 
00000001' 40001368 
00000001' 4000136d 
00000001' 4000136f 
00000001' 40001371 
00000001' 40001376 
00000001' 4900137b 


00000001' 40001381 


090000001' 40001388 
00000001' 4000138d 


00000001' 40001394 
00000001' 40001399 
00000001' 4000139b 
00000001' 4000139d 
00000001' 40001322 
00000001' 40001327 
00000001' 490013ac 
00000001' 400013ae 
00000001' 400013b0 
00000001' 400013b5 
00000001' 400013ba 
00000001" 400013bf 
00000001' 400013c4 
00000001' 400013c6 
00000001' 400013c8 
00000001' 400013ca 
00000001' 400013cf 


00000001' 400013d6 
00000001' 490013dd 
60000001' 400013e4 
00000001' 400013ea 
600000001' 400013ef 


00000001' 400013f1 
00000001" 400013f5 
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833d94bf 000002 


7405 
e8d51d0000 
b91c000000 
e86b1b0000 
b9ff000000 
e8b1170000 
e8242a0000 
85c0 

7522 
833d69bf000902 


7405 
e8aald0800 
b910000900 
e8401b00090 
b9ff000000 
e886170000 
e8c1260000 
90 
e8e7230000 
85c0 

798a 
b91b000000 
e8c91a0000 
ff15b77c0000 


488905a8e20000 


e83f230000 
48890514bf0000 


e843220000 
85c0 

790a 
b908000000 
e89d1a0000 
e8601f0000 
85c0 

790a 
b909000000 
e88ala0000 
b901000000 
e808180000 
85c0 

7407 

8bc8 
e8751a0000 
4c8b05a2c40000 


4c8905a3c40000 
488b157cc40000 
8b0d6ac40000 
e811fcffff 
8bf8 


89442420 
85db 


cmp 


je 
call 
mov 
call 
mov 
call 
call 
test 
jne 
cmp 


je 
call 
mov 
call 
mov 
call 
call 
nop 
call 
test 
jns 
mov 
call 
call 


mov 


call 
mov 


call 
test 
jns 
mov 
call 
call 
test 
jns 
mov 
call 
mov 
call 
test 
je 
mov 
call 
mov 


mov 
mov 
mov 
call 
mov 


mov 
test 


dword ptr [WOW64Test x64+0xd2b0 
(00000001`4000d2b0)],2 

WOW64Test x6440x1323 (00000001`40001323) 

WOW64Test x644«0x30f8 (00000001'400030f8) 

ecx,1Ch 

WOW64Test x64+0x2e98 (00000001`40002e98) 

ecx,0FFh 

WOW64Test_x64+0x2ae8 (00000001`40002ae8) 

WOW64Test x64+0x3d60 (00000001'40003d60) 

eax,eax 

WOW64Test x6440x1362 (00000001'40001362) 

dword ptr [WOW64Test x64-«0xd2bO 
(00000001' 4000d2b0)],2 

WOW64Test x64«0x134e (00000901'4000134e) 

WOW64Test x644«0x30f8 (00000901'400030f8) 

ecx,10h 

WOW64Test x64+0x2e98 (00000001'40002698) 

ecx, 0FFh 

WOW64Test x644«0x2ae8 (00000001`40002ae8) 

WOW64Test x644«0x3a28 (00000001'400903a28) 


WOW64Test x6440x3754 (00000001'40003754) 
eax,eax 
WOW64Test x64+0x137b (00000001'4000137b) 
ecx,1Bh 
WOW64Test x644-0x2e44 (00000001'40002e44) 
qword ptr [WOW64Test x6440x9038 
(00000001' 40009038) ] 
qword ptr [WOW64Test x6440xf630 
(00000001' 4000f630)], rax 
WOW64Test x64«0x36cc (00000001'409036cc) 
qword ptr [WOW64Test x6440xd2a8 
(00000001' 4000d2a8) ] , rax 
WOW64Test x64-«0x35dc (00000001'400035dc) 
eax,eax 
WOW64Test x6440x13a7 (00000001'400013a7) 
ecx,8 
WOW64Test x644-0x2e44 (00000001'40002e44) 
WOW64Test x644«0x330c (00000901'4900330c) 
eax,eax 
WOW64Test x64«0x13ba (00000001'400013ba) 
ecx,9 
WOW64Test x644«0x2e44 (00000001'40002e44) 
ecx,1 
WOW64Test x64-«0x2bcc (00000001'40002bcc) 
eax,eax 
WOW64Test x64«0x13cf (00000001'400013cf) 
ecx,eax 
WOW64Test x64+0x2e44 (00000001'40002e44) 
r8,qword ptr [WOW64Test x64«0xd878 
(00000001'4090d878)] 
qword ptr [WOW64Test x6440xd880 
(00000901' 49000d880)], r8 
rdx,qword ptr [WOW64Test x6440xd860 
(00000001' 4000d860) ] 
ecx,dword ptr [WOW64Test x6440xd854 
(00000001' 4000d854) ] 
WOW64Test x644«0x1000 (00000901'400019008) 
edi,eax 
dword ptr [rsp*20h],eax 
ebx,ebx 
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00000001`400013f7 7507 jne WOW64Test_x64+0x1400 (00000001`40001400) 
00000001`400013f9 8bc8 mov ecx,eax 
00000001`400013fb e80cla0000 call WOW64Test_x64+0x2e0c (00000001'40002e0c) 
00000001`40001400 e81fla0000 call WOW64Test x6440x2e24 (00000001`40002e24) 
00000001'40001405 eb17 jmp WOW64Test x64«0x141e (00000001'40001416e) 
00000001'40001407 8bf8 mov edi,eax 
00000001'40001409 837c244000 cmp dword ptr [rsp+40h],0 
00000001`4000140e 7508 jne WOW64Test x6440x1418 (00000001`40001418) 
00000001'40001410 8bc8 mov ecx,eax 
00000001'40001412 e8011a0000 call WOW64Test x64«0x2e18 (00000001'40002e18) 
00000001'40001417 cc int B 
00000001'40001418 e8171a0000 call WOW64Test x64+0x2e34 

(00000001' 40002e34) 
00000001'4000141d 90 nop 
00000001'4000141e 8bc7 mov eax,edi 
00000001'40001420 488b5c2448 mov rbx,qword ptr [rsp*48h] 
00000001'40001425 4883c430 add rsp,30h 
00000001'40001429 5f pop rdi 
00000001'4000142a c3 ret 


到 现在 为 止 ， 我 们 已 经 通过 OllyDbg 调 试 器 看 到 过 许多 用 VC++ 编 写 的 PE32 文 件 的 Startup 代 
码 。 但 这 还 是 第 一 次 通过 WinDbsg 调 试 器 查看 VC++ 编 写 的 PE32+ 文 件 ， 所 以 我 们 将 Startup 代 码 全 
部 显示 出 来 。 与 图 40-4 中 PE32 文 件 的 Startup 代 码 相 比 ， 它 们 看 上 去 非常 相似 。 像 这 样 调试 一 般 的 
应 用 程序 时 ， 由 于 没有 符号 文件 (Symbol: *.pdb )， 代 码 中 没有 任何 注释 ， 看 上 去 非常 “荒凉 "。 
若 调试 VC++ 文 件 的 经 验 不 多 , 在 上 述 代码 中 每 当 遇 到 CALL 指 令 时 可 以 跟踪 进入 , 查看 代码 ( 再 
次 强调 ， 我 强烈 建议 初学 者 这 样 做 ， 熟悉 Startup 代 码 是 非常 重要 的 )。 


40.4.4 ”main() 函 数 


WOW64Test_x64.exe 是 基于 控制 台 的 应 用 程序 ， 在 GetCommandLineW() 函 数 处 设置 断 点 后 ， 
从 断 点 处 开始 跟踪 到 main0 函 数 调用 处 。 首 先 在 kermel32!GetCommandLineW() API 处 设置 断 点 。 
bp «address 或 模块 名 称 !API 名 称 > 


接 下 来 运行 (g) 调试 器 ， 调 试 器 在 GetCommandLineW() API 处 暂停 ， 如 图 40-12 所 示 。 





|eseeesee 776f11e8 ff2502c90700 jmp qword ptr [kernel32! imp GetCommandLinew 


图 40-12 WinDbg: 暂停 在 GetCommandLineW() 的 断 点 处 


然后 查看 栈 中 存储 的 返回 地 址 (Return Address )， 如 图 40-13 所 示 。 





88688668 88012ff28 68668666B 86660664 90000020 969090000 
68686888 8612ff38 e0000062'2c44d129 8658BB6B 868686668 
20088888 6812ff48 ”886686688 86686666 99000000 666866866 
;[emeeeese'eei2ffss ”6BB688686 776ef56d 88608880 66888888 
||eeeesesB'eeizffcs ”8BB868666 66666688 988885868 668888888 
||eeeeeeee'eeizff78 88886868` 88888868 896888688 68868866 
|[eeeeeeoe'eeizffss 88888828 77923021 686686866B P9808988 


图 40-13 WinDbg: 存储 在 栈 中 的 返回 地 址 
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从 图 40-14 可 以 看 到 ， 返 回 地 址 为 0000000140001381， 跟 踪 转 到 该 地 址 处 。 





qword ptr [wOw64Test_x64+əxfs3@ (988886661 4000f630)],rax 












eeeeeeel "48001381 488905a8e20000 mov qword ptr [WOWe4Test xe4-exfe3e (eeeseeel' 4B686f638) ] ,rax 
leeaeenei'40001388 e83f230000 cali WOWe4Test xe4«ex3ecc (00000001 4e0e36cc) 
eeeeeB61 46868138d 48898514bf8888 mov qword ptr [wOw64Test_x64+@xd2a8 (@@@@@@@1`4@@ed2a8)],rax 
leegeenei'40001394 e843220088 call WOW&4Test xe4«ex3sdc (88e8eee1' 4ege3sdc) 
lOeegeeeel'40001399 85c8 test eax,eax 

i 1'4900139b 798a jns WOWe4Test x64«09x1387 (80000081' 40001327) 

01'4800139d b9eseeeeee mov ecx,8 

886666881 40001322 eS9diseeee cali WOWe4Test x64«8x2e44 (80000001' 40002644) 





| 96686661 489813a7 e8601f0000 call WOW64Test_x64+0x330c (88800081'48080330C) 
poeəopoe1`489013ac 85c8 test eax,eax 
|eeeeeee 488813ae 79ea jns MDw64Test_X64+6x13ba (eeeeeeei'4eeeisba) 








eeeeeeel 488613b6 bseseeeeee mov ecx,9 


| fgeeeeeei'4eoeisbs essalaeeee call WOwWe4Test x64«8x2e44 (08000801' 40082644) 
| leeeaeee1' 4eee13ba bseieeeeee mov ecx,1 
| 86686681 466813bf e808180800 ca11 WOWeaTest x64«ex2bcc (eaeeeeei' 4ege2bcc) 


1eeeeeee1、 4980013c4 85c8 test eax,eax 
|feeeeeoe1'4eeeiace 7487 je WOWe4Test Xx6440x13cf (eeeeeage1' 4eee13cf) 
|Jeeeeesei'4eeeiscs gbcs mov ecx,eax 









,eax 






leeaoenel'400013f1 89442420 dword ptr [rsp+28h], eax 
988861 486613f5 S5db ebx, ebx 
eeeeeeel 4eeel3f7 7507 WOWe4Test xe4«8ex140e0 (eeeoeoei' 40001400) 






“8906888681 486813f9 Sbc8 
|Jgeeeeae1" 489013fb e8eciaeeee 

||eeeeeee1" 48801400 eslfla8Bee 
i |eegeeeei' 48001405 eb17 


图 40-14 WinDbg: Startup 代 码 内 部 的 main0) 函 数 调 用 代码 


ecx,eax 
WOwW64Test_x64+ex2eec 【9B6B8681` 40868220C) 
WOW64Test_x64+@x2e24 (08808801' 40082024) 
WOWe4Test x64«gx141e (80080001' 48001416) 


315:31:00000001 4000138189 MO V18 44 GetCommandLineW() API 的 返回 值 ( RAX ) 存 储 到 .data 
节 区 的 特定 区 域 。 接 下 来 是 多 条 CALL 指 令 ， 调 用 多 个 函数 切 分 获取 的 “command line” FR, 
最 终 形 成 main0 函 数 的 argc、argv 人 参数。00000001400013cf-00000001400013e4 地 址 间 的 MOV 指 
令 用 来 为 main0 设 置 参 数 (RCX、RDX、R8 寄 存 器 )。 紧 接着 , 00000001`400013EA 地 址 处 的 CALL 
指令 用 来 调用 main() 函 数 。 下 面 看 看 存储 在 寄存 器 中 的 main 函 数 的 参数 ， 如 图 40-15 所 示 。 








88886881 4889813ea e811fcffff call WOWG4TESt_X64+0X1000 (88888091 40001000) 









a rsp-eeeeeeeeeei2ff20 rbp-eeeeeeseeeececeeee 
| r9-80e0eseegePePeeee r10-0000000000000000 







nv up ei pl zr na po nc 


Ss-002b ds=B62b es=882b fs=8853 gs-ee2b efl-eeeee246 
WOWGATESt x64«ex13ea: 
eeeeeee1 4ee813ea esiifcffff call  WOWé4Test x64«exieee (eeeeeee1' 40001000) 





图 40-15 WinDbg: main() 函 数 参数 


main(int argc,char* argv[]) 函 数 的 第 一 个 参数 argc 存 储 在 RCX 寄 存 器 中 , 其 值 为 1， 表 示 无 额外 
的 命令 参数 。 函 数 的 第 二 个 参数 为 argv[] 数 组 ， 数 组 的 起 始 地 址 存储 在 RDX 寄 存 器 中 ， 其 值 为 
203080， 该 地 址 中 保存 着 数组 元 素 argv[0] 的 值 ， 是 第 一 个 命令 行 字符 串 的 地 址 ， 如 图 40-16 所 示 。 
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argv 人 参数 


从 图 40-16 中 可 以 看 到 , argv[] 参 数 ( RDX ) 的 起 始 地 址 为 203080, argv[0] 


图 40-16 WinDbg 


203090, 地 址 203090 


字符 串 ( C:\Wwork\WWOW64Test x64.exe )。 


SÍT 
可 以 像 这 样 查看 main() 函数 的 argc 与 argv 这 2 个 参数 。 图 40-15 中 R8 寄 存 器 的 值 


00000000`00203100 表 示 什 么 呢 ? main0 函 数 的 参数 明明 只 有 2 个 (RCX、RDX ), 


中 保存 着 第 一 个 命 


三 个 参 


那么 这 第 


存储 着 值 呢 ”下 面 分 析 一 下 图 40-17。 


数 R8 寄 存 器 中 为 什么 会 
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R8 寄 存 器 ( 3rd parameter of main() ) 


从 图 40-17 中 可 以 看 到 ，R8 寄 存 器 所 指 的 是 一 个 指针 数组 ， 数 组 的 所 有 元 素 都 指向 栈 区 域 。 


第 一 个 元 素 所 指 的 地 址 为 00000000`00203280， 进 入 该 地 址 查看 ， 如 图 40-18 所 


图 40-17 WinDbg 
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图 40-18 WinDbg: R8 寄 存 器 所 指 的 栈 区 域 


40.5 小结 423 


在 图 40-19 中 可 以 看 得 更 清楚 , main0) 的 第 三 个 参数 R8 为 系统 环境 变量 字符 串 数 组 的 地 址 , 它 
不 是 用 户 编写 的 代码 ， 是 使 用 Visual C++ 2010 工 具 编 译 代码 时 由 编译 器 自动 添加 的 参数 。 最 后 看 
一 下 main() 函 数 本 身 的 代码 。 





TAR 


Ë=] command - CiwworkwWOW64Test x64 exe xe WinDbg:6.12 0002633 AMD64 








|peoBegel'40001002 4881ec70020000 sub rsp,27eh 
eeeapel'40001009 4S8be5fsafeeee mov rax,qword ptr [WOWé4Test xe4«excees (eeeegeel'4geecet 
00000061` 48001918 4833c4 xor rax, rsp 
80000001' 40001013 4989842460020000 mov qword ptr [rsp*268h],rax 
|feeeeeee1' seeelelb 3 xor ebx,ebx 
||eeeeeee1' 4eoe1eid 4s8dac2452 lea rcx, [rsp+52h] 
|[eeeeeee1'4eeeie22 33d2 xor kde 
|[eeeeeeei'4eeeie24 4ibsecezeeee mov r&d, 2 
|[eeeeeseil'4epeie2a 4s895c2440 mov qword ir [rsp+4@h],rbx 
 [20000001`4000102f 66895c245e mov word ptr [rsp+s@h],bx 
|[eeeeeee1i'40pe1034 es974seeee Call WOWe4Test x64«exssde (8eeeeeei'4eeessde) 
|[eeeeeeei'4e001039 a88d4c245e lea rcx, [rsp+ 
2000020140001032 bae4e edx,184h 
| "40801043 ffisdf7feeee — call qword ptr eetet X64«8x98028 (6000060149009028) ] 
80808001' 40801049 B85cO test eax,eax 
|eeeeesei'4eeeieab 7411 je WOW6&4Test xe4«exiese (8ee8eeeil' 40001056) 
.[eeeeeeei' 40001840 4830542450 lea rdx, [rsp+58h] 
|Jeeeeeeei' 42001052 4ssdedi79ceeee lea rex, [WOw64Test_x64+exac9e (000002001 4668ac99)] 
| [20000001 40801059 £822010000 call WOWe4Test x64*8x1180 (00000001'40001180) 
| epeooeo1`400019se 4C8de55b9ce6866 lea r8,[wO0ws4Test_x64+0xacce (060000001' 4GGBGacce)] 
| [00000001 40801065 488d4c2450 lea rcx,[rsp*5eh] 


图 40-19  WinDbg: 部 分 main() 函 数 代码 


至 此 ， 我 们 准确 找到 了 main0 函 数 代码 ， 从 这 里 开始 调试 就 可 以 了 。 下 面 请 大 家 各 自动 手 调 
试 ， 好 好 练习 一 下 。 
提示 
WinDbg 的 基本 使 用 方法 请 参考 第 39 章 。 


40.5 小结 


本 章 学 习 了 64 位 环境 下 调试 PE32+ 文 件 的 方法 。 前 一 章 ( 64 位 计算 ) 中 我 们 学 习 了 有 关 64 位 
环境 中 新 增 与 改动 的 内 容 , 如 果 完 全 掌握 了 这 些 内 容 , 那么 在 64 位 环境 下 调试 程序 并 没有 想 得 那 
么 难 。 由 于 x64、Windows OS 64 位 、PE32+ 等 能 够 很 好 地 向 下 兼容 ， 所 以 如 果 熟 悉 了 32 位 环境 下 
的 调试 技术 ， 就 能 快速 适应 64 位 环境 ， 顺 利 调试 64 位 程序 。 

WinDbsg 调 试 器 的 用 户 界面 有 些 陌 生 , 并 且 如 果 没 有 符号 文件 (*.pdb ), 代码 的 注释 ( 特别 是 
API 的 名 称 ) 会 非常 少 , 这 给 代码 的 阅读 与 分 析 造 成 了 困难 。 要 熟悉 WinDbg 这 个 调试 工具 ， 必 须 
反复 使 用 它 , 不 断 练习 ， 除 此 之 外 别 无 他 法 C 随 着 代码 逆向 分 析 水 平 的 提高 ， 各 位 调试 内 核 驱 动 
程序 文件 时 会 再 次 使 用 WinDbg 这 个 调试 工具 )。 当 然 ， 如 果 你 还 有 余力 ， 可 以 尝试 使 用 IDA Pro, 
它 是 一 个 非常 强大 的 交互 式 反 汇编 工具 。 


第 41 章 ASLR 


ASLR ( Address Space Layout Randomization， 地 址 空间 布局 随机 化 ) 是 一 种 针对 缓冲 区 浇 出 
的 安全 保护 技术 ， 微 软 从 Windows Vista 开 始 采 用 该 技术 ， 本 章 将 学 习 其 相关 知识 。 


41.1 Windows 内 核 版 本 


表 41-1 中 列 出 了 各 Windows OS 采用 的 内 核 版 本 。 
表 41-1 内 核 版 本 








OS 内 核 版 本 os 内 核 版 本 
Windows 2000 5.0 Windows Server 2008 6.0 
Windows XP 54 Windows Server 2008 R2 6.1 
Windows Server 2003 5.2 Windows7 6.1 
Windows Vista 6.0 


微软 从 Windows Vista 开 始 升级 采用 新 的 Major Kernel Version 6 ( Major 版 本 号 从 5 升级 为 6 约 
用 了 7 年 )。 微 软 从 Windows Vista ( Kernel Version 6 ) 开始 采用 ASLR 技 术 ， 以 进一步 加 强 系统 安 
全 性 。 


41.2 ASLR 


背 助 ASLR 技 术 ，PE 文 件 每 次 加 载 到 内 存 的 起 始 地 址 都 会 随机 变化 ， 并 且 每 次 运行 程序 时 相 
应 进程 的 栈 以 及 堆 的 起 始 地 址 也 会 随机 改变 。 也 就 是 说 ， 每 次 EXE 文 件 运行 时 加 载 到 进程 内 存 的 
实际 地 址 都 不 同 ， 最 初 加 载 DLL 文 件 时 装载 到 内 存 中 的 实际 地 址 也 是 不 同 的 。 

微软 改 用 这 种 方式 加 载 PE 文 件 的 原因 何在 呢 ? 是 为 了 增加 系统 安全 性 。 大 部 分 Windows OS 
安全 漏洞 (一 般 为 缓冲 区 溢出 ) 只 出 现在 特定 0OS 、 特 定 模块 、 特 定 版 本 中 。 以 这 些 漏洞 为 目标 
的 漏洞 利用 代码 (exploit code) 中 ， 特 定 内 存 地 址 以 硬 编码 形式 编 人 因为 在 以 前 的 OS 中 ， 根 
据 OS 版 本 的 不 同 ， 特 定 DLL 总 是 会 加 载 到 固定 地 址 )。 因 此 ， 微 软 采 用 了 这 种 ASLR 技 术 ， 增 加 
了 恶意 用 户 编 写 漏洞 利用 代码 的 难度 , 从 而 降低 了 利用 OS 安全 漏洞 破坏 系统 的 风险 ( UNIX/Linux 
OS 等 都 已 采用 了 ASLR 技 术 )。 





41.3 Visual C++ 


请 注意 ， 并 不 是 所 有 可 执行 文件 都 自动 应 用 ASLR 技 术 。 如 上 所 述 ，OS 的 内 核 版 本 必须 为 6 
以 上 ， 并 且 使 用 的 编程 工具 ( 如 : VCH ) 要 支持 /DYNAMICBASE 选 项 。 

一 般 使 用 MS Visual C++ 2010 创 建 可 执行 文件 ( PE) 时 ，EXE 文 件 的 ImageBase 默 认为 
00400000, ，DLL 文 件 的 ImageBase 为 10000000。 但 编译 它们 时 ， 如 果 默 认 开 启 了 VC++ 的 
/DYNAMICBASE 选 项 ,那么 ASLR 技 术 就 会 如 图 41-1 所 示 应 用 到 编译 的 文件 中 。 
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2e s 
Berem z 





=== 
EUESGTESWDEP) E (/NXCOMPAT) 
关 洁 程序 集 生成 = 
RRE DLL 





目标 计算 机 MachineX86 (/MACHINE:X86) 
配置 文件 = 
| CLR Te Ret 
CLR RRE BUREE 
|| =mxe 
=== 


图 41-1 /DYNAMICBASE 选 项 


若 不 想 应 用 ASLR 技 术 ， 只 需 将 “随机 基 址 ”选项 改 为 “/DYNAMICBASE:NO” 即 可 ， 如 图 
41-2 所 示 。 





ZÆ CDYNAMICBASENO) 
国定 基 址 35 (/DYNAMICBASE:NO) 
数据 执行 保护 (DEP) 是 VDYNAMICBASE) 

关 半 程序 集 生成 JA QARSORESRU EHE» 





图 41-2 /DYNAMICBASE:NO 选 项 


41.4 ASLR.exe 

Er mm 
本 示例 程序 使 用 的 所 有 源 代码 由 MS Visual C+ 2010 Express Edition 开发 而 成 ， 在 
Windows 7 32 位 环境 中 通过 测试 。 


为 了 测试 ASLR 技 术 ， 我 们 首先 编写 一 个 简单 的 基于 控制 台 的 程序 ， 程 序 源 代 码 如 下 
所 示 。 


代码 41-1 ASLR.cpp 


#include “studio.h” 


void main() 


t 
) 


printf("ASLR test program. ..\n”); 


然后 打开 VC++ 的 /DYNAMICBASE 选 项 , 编译 得 到 ASLR.exe 程 序 ; 再 关闭 /DYNAMICBASE:NO 
选项 ， 编 译 得 到 ASLR_no.exe 程 序 。 接 下 来 使 用 调试 器 分 别 调试 。 

图 41-3 是 使 用 OllyDbg 调 试 ASLR.exe 的 画面 ， 请 认真 查看 EP 代码 地 址 与 栈 地 址 ( 如 果 使 用 的 
操作 系统 是 VISTA 以 上 版 本 的 ， 那 么 每 次 运行 时 地 址 都 会 随机 变化 )。 

图 41-4 是 使 用 OllyDbg 调 试 ASLR_no.exe 的 画面 ，EP 代 码 地 址 与 栈 地 址 未 变化 ， 就 像 在 XP 系 
统 中 看 到 的 一 样 。 下 面 使 用 PEView 工 具 查 看 并 比较 它们 。 
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| | UTAS T20 E9 ñuFEFFFF | JE 76373665 kerne 

| 81231269 8BFF Mou EDI,EDI ; 08900008 | 
| 091231268 55 jPUSH EBP E 8123125F ASLR. <É 
8BEC hes EBP ,ESP ( 7EFDE B88 

81EC 28038808 SUB ESP ,328 8024FF48 ASCII 


A3 18002301 |MOU DWORD PTR DS:[423D018], kernel: B824FF20 
— 898D 14D82381 HOU DWORD PTR DS:[423D8015], FSE 80009000 
| 0123127F 8915 10002301 MOU DWORD PTR DS:[123D010],| ASLR.«h 00800590 
|| 81231285 891D 8CD82381 MOU DWORD PTR DS:[123D80€], ý 
| 81231288 8935 08D02361 MOU DWORD PTR DS:[123D608], LIP 8123125F 
|| 01231291 893D 84D82381 MOU DWORD PTR DS:[423D0805], ES 6828 


| 81231297 66:8C15 30092 MOU WORD PTR DS:[423D030],S ts 8823 
66:8C0D 24002 MOU WORD PTR DS:[123D025],C SS 882B 
££r.004n nanana anu unnn nrn BC rannnannI n DS 8028 
FS 8053 
GS 802B 








0021FF18 
TONY 
8821FF28 
912366028 8821FF25 
81232836 B821FF28 || 7EFDE888 
B8821FF2C|| 768851DC€ 
86888088 








图 41-3 ”调试 ASLR.exe 





00409125F 
TT E9 A4FEFFFF JMP 0050110D 7 
| 00481269 8BFF MOU EDI,EDI m 08008088 
|08401268 55 PUSH EBP 0850125F 
08408126C 8BEC MOU EBP,ESP 7EFDE B90 
|| 60040126E 81EC 28830088 SUB ESP ,328 8048FF8C 
04901274 A3 18D64669 MOU DWORD PTR DS:[40D818],E| kernel: 80848FF915 
| 88501279 890D 15D85808 MOU DUORD PTR DS:[49D814],E 08880088 
8058127F 8915 10D8408d HOU DWORD PTR DS:[A40D010],E| ASLR nc 80089008 
| 86501285 891D GCDB4888 MOU DWORD PTR DS:[48D88C],E : I 
|| 80581288 8935 08D8^80d MOU DWORD PTR DS:[A0D888],E EIP 0050125F 
| 86501291 893D 64D64966 MOU DWORD PTR DS:[A^8D88A],E ES ü82B 
|| 80581297 66:8C15 39D64 MOU WORD PTR DS:[48D838],55 CS 8023 
90640129E 66:8C8D 24D94 HOU WORD PTR DS:[50D025],CS SS 882B 
antaaner £f.004^ nanai mnn unnn PTN nc-rrananat ne DS B028 
FS 0053 32bit 
GS 882B 32bit 








884660086 : : i 
08586616 8018FF95 F0D18FFDN 


Baagco28 J 0018FF98 | 77D39F42| RETURN to 
99858£638 Ü B018FF9C | 7EFDE 068 

80406858 BO18FFAG | 76322AEG 

B6480 65 8 | 8818FFA^|| 6808808558 

4 








图 41-4 调试 ASLR_no.exe 
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图 41-5 左 侧 为 ASLR.exe 文 件 ， 右 侧 为 ASLR_no.exe 文 件 。 可 以 清楚 看 到 ASLR.exe 文 件 比 
ASLR_no.exe 文 件 多 出 1 个 名 为 “reloc” 的 节 区 。 一 般 而 言 ， 普 通 的 EXE 文 件 中 是 不 存在 .reloc 节 
区 的 ， 该 节 区 仅 在 应 用 了 ASLR 技 术 的 文件 中 才 会 出 现 ， 它 是 编译 时 由 编译 器 生成 并 保留 在 可 执 
行文 件 中 的 。PE 文 件 被 加 载 到 内 存 时 , 该 节 区 被 用 做 重 定位 的 参考 ,， 它 不 是 EXE 文 件 运行 的 必需 
部 分 , 可 将 其 从 PE 文件 中 删除 (但 是 由 于 DLL 文件 总 是 需要 重 定位 ,所 以 在 DLL 文件 中 不 可 将 其 
删除 )。 最 重要 的 部 分 是 IMAGE FILE _HEADER\Characteristics 与 MAGE OPTIONAL HEADER\ 
DLL Characteristics 这 2 个 字段 ， 下 面 分 别 予 以 说 明 。 
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- — ñ es 


B-ASLR.exe 
IMAGE DOS HEADER 

| -MS-DOS Stub Program 
H- IMAGE NT HEADERS 
IMAGE SECTION HEADER .text 
.-IMAGE SECTION HEADER .rdata | 
|. IMAGE SECTION HEADER .data | 
d IMAGE SECTION HEADER .rsrc 









i IMAGE DOS HEADER 

¿MS-DOS Stub Program 

由 - IMAGE NT HEADERS 

i= IMAGE SECTION HEADER .text 
i- IMAGE SECTION HEADER .rdata 
i IMAGE SECTION HEADER .data 
i IMAGE SECTION HEADER .rsrc 
`- SECTION .text 

& SECTION .rdata 

L. SECTION .data ' 
由 - SECTION .rsrc 































Œ- SECTION .rdata 
-SECTION .data 
SECTION .rsrc 
























图 41-5 ASLR.exe 5ASLR no.exe 


41.4.2 IMAGE FILE HEADERCharacteristics 


如 图 41-6 所 示 , 上 方 为 ASLR.exe 文 件 , 下 方 为 ASLR_no.exe 文 件 。 对 于 拥有 .reloc 节 区 的 ASLR.exe 
文件 来 说 ，IMAGE FILE HEADER 的 Characteristics 属性 字段 中 并 不 存在 IMAGE FILE_ 
RELOCS_STRIPPED(1) 标 志 (由 于 ASLR.exe 文 件 中 多 出 1 个 reloc 节 区 ， 所 以 Number of Sections 


值 增 1 )。 

































GE ASLR.exe RVA Data Description Value 
i- IMAGE DOS HEADER jlleeeeeepc ^ eiac Machine IMAGE FILE MACHINE 1386 
| MS-DOS Stub Program |eeeeeent 8805 Number of Sections 


]jeeeeeorte 4B5F9CBD Time Date Stamp 2019/01/27 201:53:17 UTC 
eeoeeata Gee00000 Pointer to Symbol Table 

| IMAGE FILE HEADER 900000E8 00000000 Number of Symbols 

i Í i. IMAGE OPTIONAL HEADER 000000EC GOEG Size of Optional Header 


i Í 
H 一 一 

i IMAGE SECTION HEADER .text | | 000000EE 90192 Characteristics 

! y y | 9002 IMAGE FILE EXECUTABLE IMAGE 


|- IMAGE SECTION HEADER 
ay | IMAGE FILE 32BIT MACHINE 


£3.IMAGE NT HEADERS 
: — Signature 









-rdata| 
































6 ASLR no.exe RVA Data Description Value 
i_ IMAGE DOS HEADER 66636DC ^ 614C Machine IMAGE FILE MACHINE I386 
B MS-DOS Stub Program 966060DE 0004 Number of Sections 
| É IMAGE NT. HEADERS 900000EO 4B5F9CAA Time Date Stamp 2010/01/27 61:53:46 UTC 


000000E4 00000000 Pointer to Symbol Table 
000000E8 60000000 Number of Symbols 
8000000EC X @0E@ Size of Optional Header 
000000EE 8193 Characteristics 





Signature 





IMAGE OPTIONAL HEADER 
i= IMAGE SECTION HEADER .text 
-IMAGE SECTION HEADER .rdata 
; IMAGE SECTION HEADER .data 
上 IMAGE SECTION HEADER .rsrc 





0190 IMAGE FILE 32BIT MACHINE 








EB 
H 


图 41-6 IMAGE FILE HEADER Characteristics 


428 第 413 ASLR 


41.4.8 IMAGE OPTIONAL HEADERWDLL Characteristics 


图 41-7 中 ， 上 方 为 ASLR.exe 文 件 ， 下 方 为 ASLR_no.exe 文 件 。ASLR.exe 文 件 的 IMAGE | 
OPTIONAL HEADER DLL Characteristics 中 设 有 IMAGE DLLCHARACTERISTICS DYNAMIC 
_BASE(40) 标 志 。 若 VC++ 中 开启 了 /DYNAMICBASE 选 项 ， 编 译 程序 文件 时 就 会 设置 上 该 标志 值 
( 参考 图 41-2 )。 










à, PEview - Cirwork 


File view Go: tu 













*|oo0Q 
£j ASLR.exe ^ RVA Data Description Value 
IMAGE DOS HEADER || 68686136 9061A869 Checksum 
MS-DOS Stub Program [| 00000134 89083 Subsystem IMAGE SUBSYSTEM WINDOWS CUI 
E) IMAGE NT HEADERS eeeeel36 8140 DLL Characteristics 
Signature x< 





IMAGE FILE HEADER 












[六 peuew -< p> 
He Mew Go Hep O 
3/05 0060| n@m [Hə = 














E ASLR_no.exe RVA Data Description Value 
IMAGE DOS HEADER 90000138 90012A11 Checksum 
MS-DOS Stub Program 00000134 08003 Subsystem IMAGE SUBSYSTEM WINDOWS CUI 
(3 IMAGE NT HEADERS 606000136 8190 DLL Characteristics 
Signature eiee IMAGE DLLCHARACTERISTICS NX COMPAT 


8900 IMAGE DLLCHARACTERISTICS TERMINAL SERVI 
@9009138 60100600 Size of Stack Reserve 
00900013C 60001000 Size of Stack Commit 
@@0090149 00100000 Size of Heap Reserve 


IMAGE FILE HEADER 
IMAGE OPTIONAL HEADER 
IMAGE SECTION HEADER .text 


TUSCE ccrTTm urshEn m4-+~ 


图 41-7 MAGE OPTIONAL HEADERDLL Characteristics 
以 上 我 们 学 习 了 PE 文件 头 中 添加 的 、 与 支持 ASLR 功 能 相关 的 信息 。 下 面 通过 一 个 练习 来 学 
习 如 何 操作 这 些 信息 。 
41.5 练习 : 删除 ASLR 功能 


41.5.1 删除 ASLR 功能 


本 练习 示例 中 , 我 们 将 使 用 Hex Editor 工 具 修改 ASLR.exe 文 件 ， 以 此 来 删除 ASLR 功 能 。 从 图 
41-7 中 可 以 看 到 , IMAGE OPTIONAL HEADER\DLL Characteristics 中 设 有 IMAGE DLLCHARA- 
CTERISTICS_DYNAMIC_BASE(40) 标 志 ， 删 除 它 即 可 删除 ASLR 功 能 。 在 Hex Edtior 中 将 DLL 属 
性 值 由 8140 更 改 为 8100 ( 位 于 136 偏 移 处 的 WORD 值 ， 参 考 图 41-7、 图 41-8 )。 














Offset(h) 80 01 02 83 84 05 06 07 88 09 OA ØB OC OD OE OF 





2866568F8 OB O1 09 86 OO BA OO OO OO 42 OO OO OO OO GO OO ..... Sa as Ba sanas 
60000100 SF 12 800 80 00 10 O8 O0 00 AG 00 OO O0 O0 40 G0 _........ .... g. 
00000110 GO 10 O0 OG GO 02 GO O0 05 GG O0 GG O0 GO OO OB ................ 
000060120 05 00 O0 O0 OB OO OO OO 00 10 Ol GO O0 04 OO OO ................. 
60000130 69 AB O1 00 03 80 ipe oo 10 00 OO 19 00 @@ i'.............. 
@0000140 G0 OO 10 DD OD 10 OB OD OO OO OO OO 10 00 GƏ 86 ................ 
00000150 OO G0 O0 O0 OO OO DOO HG 14 B8 O0 O0 28 00 00 OG .........,.. [E 


图 41-8 删除 ASLR 功 能 
保存 后 在 调试 器 中 运行 ， 如 图 41-9 所 示 。 
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c] r 
09040125F ? 88 zi f 5t 
"Temm JMP 0050110D [JEAX 76373665 kernel 
| 60501269 MOU EDI,EDI ; 80088808 
80581268 | 8848125F RSLR.« 
88480126C EBP ,ESP 7EFDE 888 
|| 08040126E || . ESP ,328 9818FFSC ASCII 
|89501275 || . A3 18D05000 DWORD PTR DS:[A0DG18],E| kernel: 0B18FF95 
|| 20201279 890D 125005006 DWORD PTR DS:[50D815],E 00080008 
|5959127r | . 8915 100059006 DWORD PTR DS:[46D818],E ñSLR.<h 880880098 
80501285 || . 894D 6CD84866 DWORD PTR DS:[58D08C],E ; 
DWORD PTR DS:[A^0D808],E 89046125F ñSLR.< 
DWORD PTR DS:[49D004],E ES 8028 32bit Í 
WORD PTR DS:[50D030],SS 8023 32bit 
WORD PTR DS:[48D824],CS 802B 32bit 
BD DIA RT wc zl» sabit 
8053 32bit 
882B 32bit | 








8040080081 00 19 Ts 
B848C 818 | 08 80 AG DA 0018FF94 
98 80 00 18 8818FF98 ntd11 
88 00 08 89 9918FF9C| 
88 00 08 68 9818FFR8 


08 89 908 08 88 8 " 8018FF05 
+ L] j 


860680888 
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图 41-9 删除 ASLR 功 能 


从 图 41-9 中 可 以 看 到 ， 已 经 成 功 删 除 ASLR 功 能 。 
提示 

当然 ,也 可 以 通过 修改 PE 文件 头 向 文件 中 添加 ASLR 功能 ,但 这 样 做 没什么 意义 ， 
所 以 一 般 都 不 会 这 么 做 。 因 为 ， 向 没有 重 定位 节 区 (.reloc) 的 PE 文件 添加 ASLR 功 
能 后 ， 文 件 运行 时 可 能 会 因 不 正确 的 内 存 引 用 而 发 生 错 误 。 





如 果 一 个 要 详细 分 析 的 文件 应 用 了 ASLR 功 能 , 分 析 前 可 以 暂时 将 ASLR 功 能 删除 , 然后 再 调 
试 分 析 ， 由 于 文件 总 是 被 加 载 到 相同 的 内 存 地 址 ， 所 以 分 析 起 来 会 更 简便 。 


第 42 章 ”内核 6 中 的 会 话 


Windows OS Kernel 6 ( Vista、7、8 等 ) 开始 采用 一 种 新 的 “会 话 ”( Session ) 管理 机 制 ， 本 
章 将 学 习 这 方面 的 内 容 。 

如 果 你 是 一 个 Windows 应 用 程序 开发 者 ， 那 么 有 可 能 遇 到 过 以 下 问题 : 一 个 在 XP 中 运行 良好 
的 服务 程序 在 Vista 或 7 中 无 法 正常 运行 。 这 些 服务 程序 主要 是 与 用 户 存在 交互 行为 的 程序 。 也 就 是 
说 ， 一 个 以 服务 形式 运行 的 应 用 程序 中 ， 显 示 用 户 对 话 框 或 尝试 在 用 户 程序 与 服务 程序 之 间 通 信 
时 ,无 法 像 在 XP 中 一 样 正常 运行 。 这 些 问题 实际 上 都 是 由 Kemel 6 中 使 用 的 会 话 管理 机 制 引 起 的 。 
从 程序 的 开发 角度 看 ， 了 解 Kernel 6 中 这 种 会 话 管理 机 制 的 改变 是 十 分 必要 的 ; 从 代码 逆向 分 析 角 
度 看 , 会 话机 制 的 改变 是 也 个 相当 重要 的 事件 。 因为 这 意味 着 原先 使 用 的 通过 CreateRemoteThread() 
API 进 行 DLL 注 人 的 方法 不 再 适用 于 Kernel 6 中 的 服务 进程 ( 对 一 般 进 程 仍然 适用 )。 


42.1 会 话 


简单 地 说 ， 会 话 指 的 是 登录 后 的 用 户 环 境 。 大 部 分 OS 允许 多 个 用 户 同 时 登录 ， 并 为 每 个 登 
录 的 用 户 提供 独立 的 用 户 环境 。 以 Windows 操 作 系统 为 例 ,“ 切 换 用 户 ” 可 以 创建 本 地 用 户 会 话 ， 
“远程 桌面 连接 ”可 以 创建 远程 用 户 会 话 。 在 Process Explorer 的 View 菜 单 中 选择 “ ‘Select 
Columns-Session” 后 ， 即 可 显示 当前 运行 进程 所 属 的 会 话 ( 参考 图 42-1 )。 











r 
Select Columns 
Pro Perform 
Process GPU — 
Select the columns that will appear on the Process view of 
Process Explorer 
Process Name Window Title 
PID (Process Identifier) Window Status 


Autostart Locahon 
i |DEP Status 
Integrity Leve! 
i] Virtualized 
t$ |ASLR Enabled 





= me 


re 一 一 一 一 一 一 一 一 - wy 

















图 42-1 Process Explorer 的 会 话 选 项 
为 了 查看 当前 会 话 ， 使 用 “切换 用 户 ” 功 能 同时 登录 2 个 用 户 。 会 话 的 ID (0、1、2、…) 是 
根据 登录 顺序 确定 的 。 图 42-2 显 示 出 Windows 7 中 正在 运行 的 进程 及 其 所 属 会 话 。 
接 下 来 查看 Windows XP 中 正在 运行 的 进程 及 其 所 属 会 话 。 
提示 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
用 户 登 录 系 统 后 , 系统 默认 为 相应 会 话 创建 csrss.exe、winlogon.exe、explorerexe 进程 。 
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图 42-2 Windows 7 中 正在 运行 的 进程 所 属 的 会 话 


Windows 7 ( 图 42-2 ) 与 Windows XP ( 图 42-3 ) 有 1 个 非常 大 的 不 同 。 两 个 操作 系统 中 都 登录 
了 2 个 用 户 , 但 Windows 7 中 共有 3 个 会 话 (0、1、2 )， 而 Windows XP 中 只 有 2 个 会 话 (0. 1) 无 
论 Windows XP 还 是 Windows 7， 系 统 进程 与 服务 进程 都 在 ID 为 0 的 会 话 ( 系统 会 话 ) 中 运行 。 二 
者 差别 在 于 ， 第 一 个 登录 的 用 户 的 会 话 有 D 是 不 同 的 。Windows XP 中 ， 第 一 个 登录 系统 的 用 户 的 
会 话 ID 为 0; 而 Windows 7 中 ， 第 一 个 登录 系统 的 用 户 的 会 话 ID 为 1， 非 系统 会 话 。 这 种 细微 的 差 
别 使 在 XP 系 统 中 可 以 使 用 的 技术 在 Windows 7 中 无 法 正常 使 用 。 请 注意 ， 上 述 测试 中 我 计算 机 的 
UAC ( 用 户 账户 控制 ) 处 于 关闭 状态 ， 如 图 42-3 所 示 。 


*: Process Explorer - Sysinternals: 


. ]Interrupts 
opcs 
aT System 
s F'lsmss.exe 
四 csrss.exe 


s g rm 
[gf cttmon.exe 





图 42-3 Windows XP 中 正在 运行 的 进程 所 属 的 会 话 
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42.2 会话 0 隔离 机 制 


从 Windows 内 核 版 本 6 开始 ， 为 进一步 增强 系统 安全 性 ， 第 一 个 登录 系统 的 用 户 会 话 ID 被 设 
为 1， 使 之 与 系统 会 话 (ID: 0) 区 分 。 分 离 系统 会 话 与 用 户 会 话 就 取消 了 它们 之 间 的 相互 作用 ， 
采用 这 种 机 制 虽然 可 能 引起 向 下 兼容 的 问题 , 但 能 够 大 大 增强 系统 安全 性 。 微软 把 这 种 机 制 称 为 
会 话 0 隔离 机 制 ( Session 0 Isolation )。 

i eM ot 
关于 会 话 0 隔离 机 制 在 Windows Team Blog 中 有 非常 详细 的 说 明 ， 感 兴趣 的 读者 
可 以 进入 下 面 地址 学 习 。 

http://windowsteamblog.com/blogs/developers/archive/2009/10/01/session-0-isolation.aspx 





423 ”增强 安全 性 


前 面 介绍 的 会 话 0 隔 离 机 制 以 及 上 一 章 中 讲解 的 ASLR 技 术 都 是 为 增强 系统 安全 性 而 增加 的 
功能 。 昌 然 用 心 良 苗 ,但 它们 能 否 有 效 增强 系统 安全 性 仍 有 待 商 榨 。 由 于 会 话 0 中 的 进程 并 未 完 
全 实现 分 离 ， 所 以 会 话 1 中 的 进程 ( 如 : Process Explorer) 可 以 强行 终止 会 话 0 中 的 进程 ， 并 且 
ReadProcessMemory()、WriteProcessMemory()、VirtualAllocEx() 等 调试 API 也 能 正常 运行 (可 以 轻 
松 绕 开 ASLR 技 术 ) 无 论 如 何 , 借助 微软 的 这 些 新 增 技术 ,目前 尚 能 拦截 过 去 常见 的 一 些 黑客 攻 
击 行为 。 然 而 随 着 逆向 技术 的 不 断 发 展 ， 相 信 会 有 更 高 级 、 更 新 的 针对 它们 的 攻击 技术 出 现 。 这 
是 一 场 无 休止 的 “ 予 ” 与 “ 盾 ” 的 战争 。 

Er -m MMÀ— 
这 场 无 休止 的 “了 矛 ” 与 “ 盾 ” 的 战争 中 ,“ 盾 ” 方 〈( 微 软 ) 始终 处 于 不 利 地 位 ， 因 
为 他 们 要 考虑 到 方方面面 ， 既 要 提供 良好 的 支持 ， 保 证 各 种 应 用 程序 正常 运行 ; 又 要 
考虑 向 下 兼容 性 ， 为 用 户 提供 便利 。 此 外 还 要 考虑 对 大 量 硬件 提供 支持 ， 保 证 系统 能 
够 在 大 量 PC 上 正常 运行 。 由 于 系统 的 用 户 数量 非常 多 ,“ 了 矛 ” 方 (黑客 ) 只 要 从 中 选 
取 微 软 Windows 的 部 分 用 户 (如; MS XP SP3 IE 8 M È ) 进行 攻击 就 能 获得 好 的 攻击 
效果 。 以 战争 来 比喻 ， 攻 南方 只 要 选取 一 个 地 方 集中 力量 攻击 就 能 获得 较为 有 利 的 局 
面 ， 防 守 方 却 会 因 战 线 太 长 、 需 要 守卫 的 地 方 过 多 而 筋 疫 力 竟 、 力 不 从 心 。 








为 了 应 对 这 种 会 话 管理 机 制 的 变化 , 我 们 将 在 下 一 章 学 习 新 的 DLL 注 入 方法 , 借助 新 方法 可 
以 很 好 地 克服 会 话 管理 机 制 变化 对 DLL 注 人 造成 的 不 利 影响 。 


第 43 章 “内核 6 中 的 DLL 注入 


本 章 将 讲解 在 Windows OS Kernel 6 ( Vista、7、8 等 ) 中 实施 DLL 注入 的 方法 。 由 于 从 Kernel 
6 开始 采用 了 新 的 会 话 管理 机 制 ， 这 使 得 通过 CreateRemoteThread() API 注 入 DLL 的 旧 方 法 对 某 些 
进程 ( 服务 进程 ) 不 再 适用 。 本 章 将 调试 相关 API， 分 析 注 人 失败 的 原因 ， 然 后 寻求 解决 之 道 。 

原 有 的 DLL 注 人 技术 是 通过 调用 CreateRemoteThread() API 进 行 的 ， 在 Windows XP、2000 中 
能 够 准确 完成 DLL 注 和 操作。 但 Windows 7 中 该 方法 不 太 奏效 ， 准 确 地 说 就 是 , 在 Windows 7 中 使 
用 CreateRemoteThread() API 无 法 完成 对 服务 ( Service ) 进程 的 DLL 注入 操作 。 原因 在 于 , Windows 
7 中 的 会 话 管理 机 制 已 经 发 生 了 变化 。 下 面 通过 一 个 简单 的 练习 示例 再 现 DLL 注 人 失败 的 情形 ， 
并 分 析 失 败 原 因 ， 进 而 查找 解决 之 策 。 

提示 

本 示例 文件 在 Windows7 32 位 系统 中 通过 测试 。 


43.1 ”再现 DLL 注入 失败 


尝试 将 Dummy.dll 文 件 注 和 人 Windows7 的 系统 进程 时 ,会 出 现 注 入 失败 。 本 节 中 再 现 这 种 注入 
失败 的 情形 ( 注入 程序 是 之 前 用 过 的 InjectDll.exe )。 


43.1.1 源 代码 


先 简单 看 一 下 相关 源 代码 。 
InjectDll.cpp 
InjectDll.cpp 源 代码 中 的 核心 部 分 是 InjectDl10 函 数 。 


代码 43-1 InjectDIl() ; 


BOOL InjectDll(DWORD dwPID, LPCTSTR szDllPath) 
t 
HANDLE hProcess = NULL, hThread = NULL; 
HMODULE hMod = NULL; 
LPVOID pRemoteBuf - NULL; 
DWORD dwBufSize = (DWORD)( tcslen(szDllPath) + 1) * sizeof(TCHAR); 
LPTHREAD START ROUTINE pThreadProc; 
BOOL bRet - TRUE; 


if ( !(hProcess = OpenProcess(PROCESS ALL ACCESS, FALSE, dwPID)) ) 


1 
 tprintf(L"OpenProcess(s$d) failed!!! [%d]\n”, dwPID, 
GetLastError()); 
return FALSE; 
J 


pRemoteBuf = VirtualAllocEx(hProcess, NULL, dwBufSize, MEM COMMIT, 
PAGE READWRITE); 


WriteProcessMemory(hProcess, pRemoteBuf, (LPVOID)szDllPath, dwBufSize, 
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NULL); 


hMod = GetModuleHandle(L"kernel32.dll"); 
pThreadProc = (LPTHREAD START ROUTINE)GetProcAddress (hMod, 
"LoadLibraryW"); 


hThread = CreateRemoteThread(hProcess, NULL, 0, pThreadProc, 
pRemoteBuf, 0, NULL); 


if( hThread == NULL ) 


1 
 tprintf(L"[ERROR] CreateRemoteThread() failed!!! [%d]\n”, 
GetLastError()); 
bRet = FALSE; 
goto ERROR; 
} 


WaitForSingleObject(hThread, INFINITE); 
_ERROR: 


if( pRemoteBuf ) 
VirtualFreeEx(hProcess, pRemoteBuf, 0, MEM RELEASE) ; 


if( hThread ) 
CloseHandle(hThread); 


if( hProcess ) 
CloseHandle(hProcess); 


return bRet; 


代码 43-1 是 典型 的 DLL 注入 代码 ,前 面 我 们 已 经 多 次 分 析 过 ， 相 信 大 家 已 经 非常 熟悉 了 (更 
多 说 明 请 参考 第 23 章 )。 l 

Dummy.cpp 

接 下 来 查看 Dummy.dll 文 件 的 源 代码 (dummy.cpp ). 


代码 43-2 DlIMain() 


#include "windows.h" 
#include "tchar.h" 


BOOL WINAPI DLLMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID 


lpvReserved) 
1 
TCHAR — szPath[MAX PATH] = (0,); 
TCHAR — szMsg[1024] = (0,); 
TCHAR *p = NULL; 


switch( fdwReason ) 
1 
case DLL PROCESS ATTACH : 
GetModuleFileName(NULL, szPath, MAX PATH); 
p = tcsrchr(szPath, L'NN'); 
if( p != NULL ) 
t 
_stprintf_s(szMsg, 1024 - sizeof(TCHAR), 
L"Injected in %s(%d)”, 
p*1, // Process Name 
GetCurrentProcessId()); // PID 
OutputDebugString(szMsg); 
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break; 


} 


return TRUE; 


Dl1IMain0) 函 数 代码 非常 简单 , 若 dummy.dl 文 件 成 功 注 入 指定 进程 , 就 输出 相关 调试 信息 ( 进 
程 名 称 、 进 程 ID )。 


43.1.2. 注入 测试 
首先 运行 Process Explorer 工 具 ， 查 看 目标 进程 的 PID ( svhost.exe ( 属于 会 话 0，PID 为 


2712 ). notepad.exe( 属于 会 话 1, PID 为 4004 )), 然后 再 使 用 InjectDll.exe 分 别 向 它们 注入 dummy.dll 


文件 ， 如 图 43-1 所 示 。 

注入 前 先 把 InjectDll.exe 与 dqmmy.dll 文 件 复制 到 工作 文件 夹 ， 然 后 运行 InjectDll.exe 命 令 实 施 
注入 ， 如 图 43-2 所 示 。 

dummy.dll 文 件 成 功 注 入 notepad.exe 进 程 ( 属于 会 话 1，PID 为 4004 )， 但 向 svchost,exe ( 属于 
会 话 0，PID 为 2712 ) 注入 时 却 发 生 了 失败 (error code=8 )。 在 Process Explorer 中 搜索 dummy.dll 


模块 。 








g 





Name 
RPC ControlIMpServiceS25A3AC A-C353-458A-A 
WRPC Control OLE8C A978B815064F 7DS9D 7F A07104; 
*Default 








图 43-1 svchost.exe-jnotepad.exeit fé 


就 像 在 图 43-3 中 看 到 的 一 样 ，dummy.dll 文 件 只 成 功 注 和 人 notepad.exe 进 程 ( 属于 会 话 1，PID 
为 4004 )。 
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管理 员 : C\Windows\System3Acmd.exe 








= 


€ zWwo rk» 














图 43-2 ”运行 InjectDll.exe 

















<= 2: E Pore = ] 
Handle or DLL substring: — dummy.dii | Search ] Í Cancel | 
Process PD Type Handie or DLL 
notepad.exe 4004 DLL c worksdummy.dil 
| 
l 
1 matching items. 





图 43-3 ”搜索 dummy.dll 


43.2 原因 分 析 


43.2.1 调试 #1 
如 图 43-2 所 示 ， 问 svchost.exe 进 程 ( 属于 会 话 0，PID 为 2712 ) 注入 的 过 程 中 ， 调 用 
CreateRemoteThread() API 函 数 时 发 生 了 失败 ， 错 误 代 码 为 8 ( ERROR NOT ENOUGH . 
MEMORY ), 下面 使 用 OllyDbg 工 具 调试 InjectD1Lexe 文 件 -在 Open 对 话 框 中 选择 InjectD1Lexe 文 件 ， 

输入 相应 参数 后 单 击 “打开 ”按钮 ， 如 图 43-4 所 示 
fae Open 32-bit executable : Í pm x i ee 
| 





























[* mo [hs —— — — s etekt- 


名称 分 改 日 期 类 型 大 小 








_— = — 


图 43-4 OllyDbgff)Open File 对 话 框 
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我 们 已 经 知道 调用 CreateRemoteThread() API 时 会 发 生 错 误 ， 所 以 使 用 鼠标 右键 菜单 中 的 
Search for\All intermodular calls 菜 单 ， 直 接 在 API 的 调用 代码 处 设置 断 点 ， 如 图 43-5 所 示 。 







CALL DWORD PTR DS: 5<&KERNEL32.UWriteProclkernae132.WrireProcessMemory 
CALL DWORD PTR DS:[5<&KERNEL32.6GetModu lel kerne 122. GetModu leHandlely 
CALL DWORD PTR DS:L«&KERNELS2. GetProcRdi kerne l32. GetProcRddress 
PUSH @ (Initial CPU select ion) 















, 004011CC| CALL DWORD PTR <&KERNEL32. GetLastErj kerne l32. GetLastError 

| 6846811E8| CALL DWORD PTR DS: [<&KERNEL32.WaitForSil kerne!32,WaitForSingleObject 
| CALL DWORD PTR DS: <&KERNEL32.UirtualFr(kernel32.UirtualFreeEn 

CALL EDI kernel32.CloseHandle 









图 43-5  Intermodular calls 





InjectDll.exe 进程 中 并 未 应 用 ASLR 技术 。 


按 F9 运 行程 序 ， 调 试 器 将 在 断 点 处 暂停 ， 如 图 43-6 所 示 。 


PUSH 0849RB4C 









. 68 4CAB4000 
. 50 












PUSH EAX 
. FF1S 34904000 | CALL DWORD PTR DS:IX&KERNELS2. GetProcAddress>] 
. 6A 00 PUSH & 
. 6A ea PUSH ð 
. 57 PUSH EDI 
. Se PUSH ERX 
. 6A 88 PUSH & 
. 6A 88 PUSH à 






56 


. SBD8 MOU EBX, EAX 






. 8508 TEST EBX, EBX 

^v 75 19 JNE SHORT 004011ES 

. FF15 18904000 | CALL DWORD PTR DS:[<&KERNEL32.GetLastError)] 
sa PUSH ERX 


. 68 60AB4000  |PUSH GO40nB6O 
. Es BF000000 |CALL a040129C 





83C4 88 ADD ESP,S 
8950 FC MOU DWORO PTR SS: LEBP-4J, EBX 
9040811E3|| .~ EB 09 JMP SHORT 004011EE 





图 43-6 ”暂停 在 CreateRemoteThread() 调 用 处 


然后 按 F8 键 ( StepOver ) 执行 调用 指令 ， 在 OllyDbg 的 寄存 器 窗口 中 可 以 看 到 “LastEr= 
ERROR NOT ENOUGH MEMORY(8)” 字 样 ， 如 图 43-7 所 示 。 





aaaaaaan 
ECX ?S52E093 KERNELBR.7552BD93 
EDX 680588868 
EBX 8080000024 
ESP Ə012FF24 
EBP 0012FF34 
ESI 0000007C 
EDI 001E0000 


EIP àB4811C6 InjectD1.004011C6 


ES 0023 32bit G(FFFFFFFF) 
CS 001B 32bit @(FFFFFFFF) 
SS 0023 32bit @(FFFFFFFF) 
DS 0023 32bit G(FFFFFFFF) 
FS 003B 32bit 7FFDE000(FFF) 
GS 0000 NULL 


LastErr ERROR MOTIENOUGH AENOR (0006608) 


@G000246 (NO,NB,E,BE, NS, PE, GE, LE) 


oncgaonmpouoo 
sess s. 


q 


[843-7 ERROR NOT ENOUGH MEMORY 
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以 上 通过 OllyDbg 工 具 再 现 了 注 人 失败 的 情形 ， 但 仍 未 能 找到 确切 原因 。 只 有 直接 调试 
kernel32!CreateRemoteThread() API 才 能 准确 把 握 失 败 原因 。 


43.2.2 ”调试 #2 
重新 运行 OllyDbg 调 试 器 ， 和 暂停 在 InjectDll.exe 调 用 CreateRemoteThread() 的 代码 处 ( 参考 图 
43-8 )。 


B8481156|| . 
S64811C8|| . 









[MOU EBX ERX —— 
TEST EBX, EBX 


图 43-8 调试 到 调用 CreateRemoteThread0 处 
查看 存储 在 栈 中 的 CreateRemoteThread0 API 的 参数 ， 如 图 43-9 所 示 。 








aaig aas | agbaBdoS4 
aai aaanaaaad = Aadmgaaoaaoaa 
uai aaaaaaaa = gaaaanoao 
HoiBFD14| 76962834 34 = 76962884 
BoiBFD18S| ü@Ə2C8000[| Aras = aaecanaa 
BoiBFD1C| aeaaasoaan|| Hrae = Gaaassaaoaa 
BoiBFD28| aeaaaeoana|tucar? = agaaoana 


图 43-9 ”CreateRemoteThread() 的 参数 


对 上 图 中 的 重要 参数 说 明 如 下 : 

(D svchost.exe ( PID: 2712) 的 进程 句柄 。 

(2) kernel32!LoadLibraryA() API 地 址 。 

(3) svchost.exe 的 进程 内 存 中 分 配 的 缓冲 区 地 址 。 

在 图 43-8 中 使 用 StepIn(F7) 命 令 ， 进 入 kermmel32!CreateRemoteThread() API， 如 图 43-10 所 示 。 
MOV EDI,EDI 


OU EBE ESP 
H DUÜRD PTR SS: LEBP«207 


Té99F4DB 









PUSH PTR SEHERE A] kernel32.LoadL ibraryA 





EFE |. FF75 88 PUSH DWORD PTR SS:LEBP+S 





T&SoFAFD 
图 43-10 “CreateRemoteThread0 内 部 代码 
从 图 43-10 中 可 以 看 到 ，kernel321CreateRemoteThread0 内 部 调用 了 kernelbase!CreateRemote- 
ThreadEx() API 函数 〈 参 考 图 43-10 )。 
提示 
kernelbase.dll 是 从 Vista 开始 新 增 的 DLL 文件， 负责 包 装 (wrapper ) kernel32.dll., 





继续 按 F7 键 运行 到 kernelbase!lCreateRemoteThreadEx0O 调 用 前 ， 查 看 栈 中 存储 的 参数 ， 如 图 
43-11 所 示 。 












B81BFCLE4 panapana Hrs? = 800000650 
BO1BFCES Rrs3 = PAAA 

BalBFCEC Hrg4 = 76962884 
BaiBFCFa Rras = aag2coaoa 
aalBgFCcF4 Rrs6 = 886666565 
BeiBFCFS Bra? = Gaoaoaooa 
aBailBFCFC RrgS = O0868668 


图 43-11 ”CreateRemoteThreadEx() 的 参数 
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kernelbase!CreateRemoteThreadEx() 的 参数 与 kernel32!CreateRemoteThread() 的 参数 几乎 一 样 ， 
只 多 了 1 个 lpAttributeList 参 数 ( Arg8 )。 继 续 进 入 kernelbase!CreateRemoteThreadEx() 代码 
( StepInto(F7) )， 在 代码 窗口 中 向 下 拖 动 滚动 条 ， 可 以 看 到 调用 ntdll!lZwCreateThreadEx() API 的 代 
码 ， 如 图 43-12 所 示 。 


758EEC2D AND EAX, ONORD PTR SS:LEBP+101 






2345 10 
5a 
53 








?758EBCS2 56 PUSH E 
T5SEBC3S FFBS BS8FDFFFF PLISH Bioro PTR E (EBP-248 N 
?5SEBC39 PUSH PTR SS: (ace kernel32.LoadL ibraryA 
BEN PTR SS: [EBP- 224] 
7S8E! H DWORD PTR SS: [EBP-244] 
58E! 68 FFFF1F00 PUCH 1FFFFF 
goas E4FDFFFF  |LER EB " nim PTR SS: LEBP-21C1 


PUSH E 
"S hcaLL: 





图 43-12 ”调用 ZwCreateThreadEx() 


运行 到 ZwCreateThreadEx0 调 用 前 ， 查 看 栈 中 存储 的 参数 ， 如 图 43-13 所 示 。 









[TE E CI] Gea 1 — j 
B81BFR34 BOIFFFFF , BO1FFFFF 
BalBFR38 Bras = Baaaaaaa 
BalBFRSC Arg4 = B888080808084 
B81BFA48 Hrg5 = 7696289894 
BG1BFA44 Aras = BB2C6665 
BB1BFA4S8 Hrg? = G6666661 
BB1EFA4C Hras = Boaaaaaan 
GOI1EFASD Argas = G9088880 
BB1EFASY Argið = 0000080009 
BalEFRES Hrall = 881BFBHS 


图 43-13 ”ZwCreateThreadEx() 的 参数 


从 栈 中 可 以 看 到 ，ZwCreateThreadEx() 拥 有 很 多 个 参数 。 比 较 图 43-9 与 图 43-13 可 以 发 现 ， 重 
要 的 参数 四 ~(@) 都 被 原样 传递 过 来 。 继 续 跟踪 进入 ntdll1ZwCreateThreadEx(0) API, 可 以 看 到 它 最 终 
通过 SYSENTER 指 令 进 入 内 核 模 式 ， 无 法 继续 用 户 模 式 调 试 。 

实际 上 ，kermnelbase!CreateRemoteThreadEx() 与 ntdll!lZwCreateThreadEx() 都 是 从 Vista 开 始 新 增 
的 API( XP 之 前 的 版 本 中 不 存在 )。 在 XP 操作 系统 中 ，kernel32!CreateRemoteThread() 内 部 会 直接 
调用 ZwCreateThreadEx() 艺 数 。 在 Windows XP 与 Windows 7 中 调用 kernel32!CreateRemoteThread() 
的 流程 分 别 如 图 43-14 所 示 。 


Kernel32!CreateRemoteThread() Kernel32!CreateRemoteThread() 
— ntdlliZwCreateThread() — kernelbase!CreateRemoteThreadEx() 
— ntdllZwCreateThreadEx() 





图 43-14 在 XP 与 7 中 调用 CreateRemoteThread0 API 的 流程 


到 此 我 们 可 以 推测 出 ，DLL 注 入 失败 的 原因 在 于 系统 中 这 些 新 增 的 API， 正 是 它们 导致 了 向 
运行 在 会 话 0 中 的 服务 进程 注 人 DLL 操作 失败 。 

NtdlllZwCreateThreadEx() 

由 于 kernelbaselCreateRemoteThreadExO 只 是 kernel32!CreateRemoteThread0 的 包装 器 ( wrapper ), 
所 以 问题 的 原因 可 能 在 ntdll1ZwCreateThreadEx0 中 。ntdll1ZwCreateThreadEx0 是 一 个 尚未 公开 的 
API，MSDN 中 查 不 到 函数 的 定义 ， 使 用 Google 搜 索 查找 。 


ZwCreateThreadEx 


typedef struct 
1 
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ULONG ` Length; 
ULONG Unknown1; 
ULONG Unknown2 ; 
PULONG Unknown3; 
ULONG Unknown4 ; 
ULONG Unknown5 ; 
ULONG Unknown6 ; 
PULONG Unknown7 ; 
ULONG Unknown8; 
JUNKNOWN, *PUNKNOWN; 
DWORD ZwCreateThreadEx 
( 


PHANDLE ThreadHandle, 

ACCESS MASK DesiredAccess, 

POBJECT ATTRIBUTES ObjectAttributes, 

HANDLE ProcessHandle, 

LPTHREAD START ROUTINE lpStartAddress, 

LPVOID lpParameter, 

BOOL CreateSuspended, 

DWORD dwStackSize, 

DWORD dwl, 

DWORD dw2, 

PUNKNOWN pUnknown : Windows XP 以 下 版 本 不 支持 
); th ah. securityxploded.com/ntcreatethreadex.php 


3B iX Googleff REI, fE Windows Vista 以 后 的 OS 中 进行 DLL 注 入 操作 时 ， 直 接 调 用 
ZwCreateThreadEx() 而 非 CreateRemoteThread() 就 能 成 功 注 入 DLL。 从 我 的 测试 结果 看 ， 这 样 做 非 
党 成 功 ， 且 不 受 所 在 会 话 的 影响 。 

比较 该 方法 中 使 用 的 参数 与 图 43-13 中 的 参数 可 以 发 现 ， 它 们 的 不 同 在 于 第 七 个 参数 
( CreateSuspended )。 直 接 调 用 ZwCreateThreadEx0) 成 功 注 人 DLL 时 ，CreateSuspended 参 数值 为 
FALSE(0)， 而 在 CreateRemoteThread() API 内 部 调用 ZwCreateThreadEx() 时 ， 该 CreateSuspended 参 
数值 为 TRUE(1)。 这 就 是 DLL 注 入 失败 的 原因 。 

Raama 
从 Windows XP F44, CreateRemoteThread() API 内 部 的 实现 算法 采用 了 挂 起 模式 ， 
即 先 创建 出 线程 ， 再 使 用 “恢复 运行 ”方法 继续 执行 (CreateSuspended=1 )。 








43.3 练习 : 使 CreateRemoteThread() 正 常 工 作 


我 们 现在 已 经 知道 了 DLL 注 和 人 失败 的 原因 , 也 知道 了 解决 方法 , 下面 使 用 调试 器 直接 修改 测 
试 ， 使 调用 CreateRemoteThread() API 能 够 成 功 完成 注入 操作 。 


43.3.1 方法 #1: 修改 CreateSuspended 参数 值 


1& v ZwCreateThreadEx() API 的 CreateSuspended 参 数值 ， 就 可 在 Windows 7 中 成 功 调用 
CreateRemoteThread() API。 重 启 调试 器 ,运行 到 图 43-12 中 调用 rtdll.ZwCreateThreadEx0 函 数 的 位 
置 ， 然 后 将 存储 在 栈 中 的 CreateSuspended 参 数值 由 1 修改 为 0， 如 图 43-15 所 示 。 

接 下 来 使 用 StepOver(F8) 命 令 ， 运 行 到 ZwCreateThreadEx() 调 用 后 ，dummy.dll 成 功 注 人 指定 


服务 进程 ， 如 图 43-16 所 示 。 
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ASCII 


UNICODE 
HEX+01 [ga 


681BF4RC 
801EF450 
091BF4B4 
goiEF4Bo 
GeipF4BCc| 0090090006 
GOB1BF4CO 
GH1BF4C4 








jRSCII "Rkam" 


on I SSS = 


图 43-15 ”修改 ZwCreateThreadEx() 的 CreateSuspended 参 数值 








File Options View Process Find DLL Users Help | 
Bin | =m ED S m x a @ ` 


Process CPU Session 
ES WUDFHost.exe I 


Ey e 





Description , Compa ^ 


DHCPv& Microso| z 
Microso- | 


Microso 
COM* Microso — 
FWP/IPsec _ Misrao 





CPU Usage: 1.54% Commit Charge: 33 23% Processes: 57 Physical we i 





图 43-16 ”dummy.dl! 成 功 注 人 svchost.exe 


使 用 DebugView 工 具 可 以 查看 dummy.dll 的 DIIMain() 函 数 中 输出 的 调试 日 志 , 如 图 43-17 所 示 。 








Time Debug Print 


0.00000000 [1048] Injected in svchast. exe(1048) 











图 43-17  DebugView 
在 Windows 7 中 修改 CreateSuspended 参 数值 ， 借 助 CreateRemoteThreadOAPI 将 指定 DLL 文 件 
成 功 注 人 svchostexe 服 务 进 程 。 
43.8. 方法 82: 操纵 条 件 分 支 


进一步 调试 kernelbase!CreateRemoteThreadEx() 函 数 可 以 发 现 更 多 内 容 。 在 图 43-12 中 ， 直 接 
使 用 StepOver(F8) 命 令 ， 执行 到 调用 ZwCreateThreadEx() 函 数 ( CreateSuspended=TRUE ) 后 ,第 一 
个 参数 pThread Handle 被 赋值 ， 如 图 43-18 所 示 。 
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PUSH IPIE 




















TESEEC4B| 68 FFFF1F86 
7ssEBCSB |  SD85 E4FDFFFF | LER EAX, DWORD PTR SS:[EBP-21C1 -arei T pTRresdHandle = 
?58EBCS6| 58 PUSH EAR 
7S3EBCS7 |  FF1S CALL DWORD PTR DS:[758E137C] |ntdLl.zwCreateThreadEY 
3995 EBFDFFFF | MOU DWORD S: LEBP-2181 
33EBc62|、3853 CMP ERM,EBX 
EGE arge SnnsoioB | JL 7590645 —— ____ |KERNELER. 759094C5 





(sj 
ERX=65555555 


Stack SS: [0018F908]=77D090440 





80 da 58 2C F9 81 Gl sx x OS S aca PE Ferrer: 


图 43-18 ”ZwCreateThreadEx() 的 返回 值 


创建 出 线程 句柄 就 意味 着 线程 正常 创建 ， 也 就 是 说 ， 调 用 CreateRemoteThread() 的 过 程 中 成 
功 创建 了 远程 线程 。 

这 是 一 个 非常 重要 的 发 现 。 虽然 远程 线程 已 被 成 功 创建 , 但 它 无 法 正常 工作 , 原因 可 能 是 后 
面 调用 ntdlllZwResumeThread() API 时 发 生 了 失败 , 或 者 干脆 无 法 调用 C 由 于 线程 是 以 挂 起 模式 创 
建 的 ， 必 须 “ 恢 复 运 行 ” 才 能 正常 执行 )。 继 续 跟踪 ， 查 看 调用 ZwResumeThread0 API 的 部 分 。 
Te en est API 代 码 的 结束 部 分 。 

从 图 43-19 中 可 以 发 现 ， 调 用 758EBD33 地 址 处 的 ntdll!CsrClientCallServer() API 后 ， 其 下 的 条 
件 分 支 指令 ( CMP/JL ) 使 ZwResumeThread() API 未 被 调用 而 直接 跳 转 到 后 面 。 在 调试 器 中 调用 
ntdll!CsrClientCallServer() API 后 ， 操 纵 下 面 的 条 件 分 支 指令 使 ZwResumeThread() 得 以 调用 执行 ， 
从 而 将 DLL 文 件 成 功 注入 指定 进程 。 根 据 Intel IA-32 Reference 可 知 ，SF!=OF 时 并 指 令 就 会 执行 发 
生 跳 转 ， 如 图 43-20 所 示 ， 使 用 鼠标 双击 S 


































758EBD?4| 6A Gc. PUSH GC 
Y5SEBD26 68 01000100 PUSH 10001 
ySƏEEBD2E PUSH EBX 

7S8EBD2C 8D85 FØFDFFFF | LER EAX, DWORD PTR SS: LEBF-21601 

FSSEBD32 5a PUSH EAX 一 一 — — MÀ — 
758EBD3S FF15 B9123EZS | CALL DWORD PTR DS: [7?7SS8E1288] ntd[l.CsrClientCa erver | 
T5S8EBD39 8B85 10FEFFFF loy EAX, DWORD PTR SS: [EBP-1F@] IEBP-1F01 = EAX = C00080001 
7?S8EBD3SF 8985 ESFDFFFF U DWORD p SS: E s. ERX — — 
?ESEBD4S5 |  399D ESFDFFFF P DWORD P s [El EBX 

D4 EEA 

7 m M [c 

?53EBDS7 3BC3 CHP EAX 

ZSSEBDS9 |v| 74 68 JE , PORT FB orenes KERNELBR. 7S8EBD63 

PSSEBDSE SB8D C4FDFFFF | MOU ECX PTR TER MN 

7SŠEBD61 8908 Hou DIORD PTR pa: CEAX], ECX 

75SEBD63| | F645 1C 84 TEST BYTE PTR SS:[EBP+ICI,4 

?SBEBD67 |v| 75 18 ue SHORT ?58EBD?C KERNELBR. 7S8EBD7C 

?S&8EBDe2| |8085 RCFDFFFF |LER EAX, DIORD PTR SSr[EBP-2541 

7SBEBD6F 5a PUSH ERX 

7S8EBD70 FFBS E4FDFFFF | PUSH DWORD PTR SS:[EBP-21C] 

rS3EBD7E | | FF1S 44138E75 | CALL De paia DS: [75861344] ; 

TEBEBD?C C745 FC FEFFFF MOU DWORD PTR SS:LEBP-43,-2 . w sas 

zs: z ES 31000000 CALL 75SEBDB9 KERNELBR. 7S8EBDB9 

758E6088| | 8B85 E4FDFFFF | MOV EAX, DWORD PTR SS:[EBP-21C] 

758EBDSE E8 @4BEFFFF CALL 758E7B97 KERNELBA. 7S8E7B97 

7S3EEBD33 C2 2008 RETN 29 

758EBC96| |90 NOP 





图 43-19 ”CreateRemoteThreadEx() 代 码 的 结束 部 分 


D EƏFDFFFF | CMP DIJORD 













; E CHP _EAX, EBX 
PEBEBDES || 74 D dE SHORT ?SSEBD63 
vSBEBDEB| | &BSD C4FDFFFF | MOU ECS, DWORD PTR SS: LEBP-23C1 


图 43-20 ”修改 $S Flag 


继续 执行 后 ， 检 查 DLL 文 件 是 否 成 功 注 入 指定 进程 。 

通过 上 面 的 调试 ， 我 们 掌握 了 在 Windows 7 中 调用 kernel32!CreateRemoteThread() API 向 服务 
进程 注 人 DLL 文件 时 失败 的 原因 。 并 通过 操纵 kernel32!CreateRemoteThread(0) API 的 参数 与 代码 ， 
成 功 地 将 DLL 文 件 注 入 指定 服务 进程 ( 该 方法 借助 调试 器 实现 ， 不 便 推广 通用 )。 接 下 来 ,我 们 
要 根据 上 面 的 方法 编写 一 个 新 的 InjectDll.exe 程 序 , 该 程序 具有 较 好 的 通用 性 , 在 Windows 7 与 XP 


中 都 能 顺利 完成 DLL 注 入 。 
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提示 三 一 一 一- 一 一 一 一 二 一 = 一 一 一 一 一 一 一 一 一 
所 有 源 代码 均 使 用 MS Visual C++ 2010 Express Edition 编写 而 成 ， 并 在 Windows 7 
& XP SP3 中 通过 测试 。 





43.4 稍 作 整理 


正式 编写 新 的 DLL 注 入 程序 前 ， 先 简单 整理 前 面 学 过 的 内 容 。 由 于 Windows 7 的 会 话 管理 机 
制 发 生 了 变化 ，kernel32!CreateRemoteThread() API 的 内 部 实现 代码 也 发 生 了 变化 ， 最 终 使 借助 
CreateRemoteThread() 进 行 DLL 注 入 的 技术 在 疝 Windows7 的 服务 进程 ( 会话 0 ) 注入 DLL 文件 时 无 
法 正常 发 挥 作用 。 从 调试 kernel32!CreateRemoteThread() 的 结果 看 ， 原 因 在 于 ， 在 API 内 部 创建 远 
程 线 程 时 采用 了 挂 起 模式 ， 若 远程 进程 属于 会 话 0， 则 不 会 “恢复 运行 ”， 而 是 直接 返回 错误 。 

提示 一 
创建 远程 线程 时 ， 先 采用 挂 起 模式 创建 ， 再 “恢复 运行 "， 这 是 从 XP 就 开始 使 用 
的 一 种 实现 方法 。 


在 kernel32!CreateRemoteThread() API 内 部 调用 ntdll1ZwCreateThreadEx() API, 操作 它 的 参数 ， 
或 者 强制 改变 错误 条 件 分 支 语 句 ， 就 可 以 正常 创建 远程 线程 ， 并 成 功 实现 DLL 文 件 注入 。 


43.5 InjectDll_new.exe 


从 前 面 的 学 习 中 我 们 知道 ,在 Windows 7 中 实施 DLL 注 入 时 直接 调用 ntdll!lZwCreateThreadEx() 
API 要 比 调 用 kernel32!CreateRemoteThread0 好 得 多 。 下 面 以 此 为 基础 编写 一 个 新 的 InjectD1L_ 
new.exe 程 序 ， 使 之 能 够 在 Windows Kernel 6 ( Vista、7、8 等 ) 中 顺利 完成 DLL 注入 。 


43.5.1 InjectDIl new.cpp 


首先 看 新 编写 的 InjectDl10 函 数 。 


代码 43-3 新 编写 的 InjectDil() 
typedef DWORD (WINAPI *PFNTCREATETHREADEX) 
( 


PHANDLE ThreadHandle, 
ACCESS MASK DesiredAccess, 
LPVOID ObjectAttributes, 
HANDLE ProcessHandle, 
LPTHREAD START ROUTINE lpStartAddress, 
LPVOID lpParameter, 
BOOL CreateSuspended, 
DWORD dwStackSize, 
DWORD dwl, 

DWORD dw2, 

LPVOID Unknown 


); 
BOOL IsVistaOrLater() 


OSVERSIONINFO osvi; 
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} 


ZeroMemory(&osvi, sizeof(OSVERSIONINFO)); 
osvi.dwOSVersionInfoSize - sizeof(OSVERSIONINFO); 


GetVersionEx(&osvi); 
// 检查 内 核 版 本 是 否 为 6 以 上 
if( osvi.dwMajorVersion == 6 ) 


return TRUE; 


return FALSE; 


BOOL MyCreateRemoteThread(HANDLE hProcess, LPTHREAD START ROUTINE 
pThreadProc, LPVOID pRemoteBuf) 


1 


HANDLE hThread = NULL; 
FARPROC pFunc = NULL; 


// 检查 05 是 否 为 Vista 以 上 
if( IsVistaOrLater() ) // Vista, 7, 8 


1 
pFunc = GetProcAddress (GetModuleHandle(L"ntdll.dll"), 
"NtCreateThreadEx"); 
if( pFunc == NULL ) 
t 
printf(“GetProcAddress(N”"NtCreateThreadExN”) failed!!! 
[*d]Nn", 
GetLastError()); 
return FALSE; 
) 
// 调用 NtCreateThreadEx() 
( (PFNTCREATETHREADEX)pFunc) (&hThread, 
0x1FFFFF, 
NULL, 
hProcess, 
pThreadProc, 
pRemoteBuf, 
FALSE, 
NULL, 
NULL, 
NULL, 
NULL); 
if( hThread == NULL ) 
{ 
printf(“NtCreateThreadEx() failed!!! [%d]\n”, GetLastError()); 
return FALSE; 
} 
} 
else // 2000, XP, Server2003 
t 
hThread = CreateRemoteThread(hProcess, 
NULL, 
0, 
pThreadProc, 
pRemoteBuf, 
0, 
NULL) ; 
if( hThread == NULL ) 
1 


printf("CreateRemoteThread() failed!!! [%d]Nn”, 
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GetLastError()); 
return FALSE; 


} 


if( WAIT_FAILED == WaitForSingleObject(hThread, INFINITE) ) 


{ 
printf("WaitForSingleObject() failed!!! [%d]\n”, GetLastError()); 


return FALSE; 
} 


return TRUE; 
} 


BOOL InjectDLL(DWORD dwPID, char *szDllName) 


{ 
HANDLE hProcess = NULL; 


LPVOID pRemoteBuf = NULL; 

FARPROC pThreadProc = NULL; 

DWORD dwBufSize = strlen(szDllName)+1; 

if ( !(hProcess = OpenProcess(PROCESS ALL ACCESS, FALSE, dwPID)) ) 


t 
printf(“OpenProcess(%d) failed!!! [%d]\n”, 
dwPID, GetLastError()); 
return FALSE; 


) 


pRemoteBuf = VirtualAllocEx(hProcess, NULL, dwBufSize, 
MEM COMMIT, PAGE READWRITE); 


WriteProcessMemory(hProcess, pRemoteBuf, (LPVOID)szDllName, 
dwBufSize, NULL); 


pThreadProc = GetProcAddress (GetModuleHandle(L"kernel32.dll"), 
"LoadLibraryA"); 


if( !MyCreateRemoteThread(hProcess, (LPTHREAD START ROUTINE) 
pThreadProc, pRemoteBuf) ) 


1 
printf("MyCreateRemoteThread() failed!!!Xn"); 


return FALSE; 
} 


VirtualFreeEx(hProcess, pRemoteBuf, 0, MEM RELEASE); 
CloseHandle(hProcess); 


return TRUE; 


InjectDl10) 函 数 中 变动 的 部 分 是 ， 函 数 内 部 并 未 直接 调用 kernel32!CreateRemoteThread()， 而 
是 调用 了 名 为 MyCreateRemoteThread() 的 用 户 函 数 。 在 MyCreateRemoteThread() 函 数 内 部 先 获取 
OS 的 版 本 ， 若 为 Vista 以 上 版 本 ， 则 调用 ntdll!NtCreateThreadEx0 函 数 ; 若 为 XP 以 下 版 本 ， 则 调用 
kernel32!CreateRemoteThread()。 整 个 代码 比较 简单 ， 很 容易 理解 。 

提示 

用 户 模式 下 , ntdll.dll 库 中 的 NtCreateThreadEx() 与 ZwCreateThreadEx() API 其 实 是 
同一 函数 ( 二 者 起 始 地 址 是 一 样 的 )。 而 内 核 模式 (ntoskrnl.exe) 中 ， 二 者 是 不 同 的 。 

请 记 住 ， 用 户 模式 下 NtXXX( 与 ZwXXXO 是 一 样 的 。 
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43.5. ”注入 练习 
首先 选择 一 个 合适 的 服务 进程 (会话 0 ) 进行 DLL 文 件 注入 练习 ， 如 图 43-21 所 示 








File Options View Process Find DLL Users Help 


dg 3 =m i 国 起 | 村 sne PENN 





FID CPU Description 








344 Client Server Runtirne 








Host Process for Wind 














LJ 
| w 708 Host Process tor Wind 
| E 836 Host Process for wind 
| esvchostexe 884 Host Process for Wind 
| | esvechostexe 1032 Host Process for Wind 
nsvchostexe 1172 Host Process for Wind = 
m spoolsv.exe t L » » -— ü j h 
Name s Description Company Nar ^ 





Microsoft Corp 
osoft Corr 





Configuration Manager DLL Microsoft Corp 
COM* Configuration Catalog Microsoft Corp 
Credential Delegation Securit,, Microsoft Corr 
Crypto API32 Microsoft Corr 
Base cryptographic API DLL Microsoft Corp 
Cryptographic Service Provi, 
_ Device Information Set DLL 

Ht l 


Commit Charge: 28.93% Processes: 37 Physical Ut | 

















CPU Usage: 7.25% 

















图 43-21 svchost.exe 进 程 


然后 运行 InjectDll_new.exe 命 令 ， 输 入 相关 参数 进行 注入 操作 ， 如 图 43-22 所 示 。 








um 管理 员 : C\Windovws\System3A\cmd.exe 


t Windows [Uersion 6.1.76001 
> 2009 Microsoft Corporation. A11 rights 


sxe 688 c:UvorkWdumny.d11i 


succeeded??? 


D: work» 











ps 


I 新 编写 的 InjectDll new.exe 命 令 


图 43-22 ”运行 


最 后 使 用 Process Explorer LÆ Æ svchost.exe (PID: 600 )， 可 以 看 到 dummy.dll 文 件 成 功 
注入 ， 如 图 43-23 所 示 
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|. Handle or DLL substring: | dummy. dii 

| 

Process PID Type Handle or DLL 
svchostexe 600 DLL cSieworksttdummy. dil 

















这 样 就 可 以 在 Windows Kernel 6 ( Vista, 7, 855) 中 向 服务 进程 (会 话 0 ) 顺利 注入 指定 DLL 
文件 。 
提示 

ntdll!NtCreateThreadEx() API 是 一 个 尚未 公开 的 API， 所 以 微软 不 建议 直接 调用 
它 ， 否 则 将 导致 系统 稳定 性 失去 保障 。 就 我 的 测试 结果 来 看 ， 调 用 它 之 后 工作 非常 正 
常 ， 但 微软 可 能 在 以 后 某 个 时 候 修 改 它 。 在 某 个 项 目 中 使 用 该 方法 时 ， 一 定 要 注意 这 
— 5. 
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我 编写 了 一 个 InjDll.exe 程 序 ， 使 用 该 程 iix 目标 进程 (Target) HE A GV HIE E DLL 
文件 。 本 章 将 向 大 家 介绍 这 iiit Ad nd 


44.1 InjDll.exe 


InjDll.exe 是 前 面 练习 示例 中 经 常 使 用 的 程序 , 我 对 源 代码 进行 了 调整 并 添加 了 一 些 功 能 , 现 
在 正式 发 布 供 大 家 使 用 。 
X InjD1Lexe 程 序 是 公开 的 ， 大 家 可 以 自由 使 用 。 
InjDllLexe 程 序 默认 支持 Windows 2000 以 上 版 本 的 操作 系统 ( 不 支持 Windows 9X 系 列 )， 并 且 
支持 32 位 /64 位 操作 系统 〈 请 根据 操作 系统 选用 合适 的 版 本 ) 
提示 
在 各 平台 (32/64 位 ) 进行 DLL 注入 时 请 注意 以 下 几 点 : 
e 若 目 标 进程 为 32 位: Injector & DII 一 全 为 32 位 (PE32 格式 ) 
e 若 目 标 进程 为 64 位 : Injector & DII — 全 为 64 4 ( PE32H& X) 
由 于 32/64 位 进程 在 64 位 OS 中 均 可 运行 , 所 以 需要 先 查看 目标 进程 的 PE 文件 格 
式 ， 再 选用 合适 的 注入 程序 (InjDII32/InjDIl64 ) 和 DLL 








44.1.1 使 用 方法 
使 用 方法 如 图 44-1 所 示 。 


M USAGE < InjD1132.exe Xprocnane!pidi* 





Üuork? 





图 44-1 使 用 方法 


InjD1132.exe 是 一 个 控制 台 程 序 ， 它 接收 3 个 参数 ， 各 参数 的 含义 说 明 如 下 : 
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«procname | pid | *> 


procname Process name (ex: explorer.exe, notepad.exe 等 ) 
pid Process ID 
* 


All Processes 


«-i|-e» 
-i Injection Mode 
-e Ejection Mode 
«dll path» DLL File Path (relative or full) 
提示 


InjDIl64.exe ( 64 位 版 本 ) 的 使 用 方法 与 mmjD1132.exe ( 32 位 版 本 ) 一 样 





44.1.2 ”使 用 示例 


示例 1:， 向 PID 为 1032 的 进程 注入 ci\Wwork\dummy32.dll 文 件 (参考 图 44-2) 。 





- E a IN 
D ERA: CAWindowsYSystem32yemd.exe CE 全 | 


c :Wuorkidunng32.d11 
ss (081 











图 44-2 ”使 用 示例 1 


示例 2: 向 IE 进 程 注 入 当前 目录 下 的 dummy32.dll 文 件 (参考 图 44-3) 。 





s\System32\cmd.exe 








0 
E 














图 44-3 ”使 用 示例 2 
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示例 3: 向 所 有 进程 注入 c'\workdummy.dll 文 件 〈 参 考 图 44-4) 。 








Bi E385. CNWindows\System32\cemd.axe = 5 








图 44-4 ”使 用 示例 3 





印 载 DLL 文 件 时 ， 用 -e 选 项 替换 -i 选项 即 可 。 


44.1.3 ”注意 事项 


(1) 由 于 采用 了 执行 远程 线程 调用 LoadLibrary() 的 工作 方式 , 所 以 如 果 kernel32.dll 未 加 载 到 目 
标 进程 ， 注 入 / 印 载 操 作 将 失败 。 

(2) 癌 访 问 权 限 受 限 的 ( 受 保护 的 ) 进程 、 或 应 用 了 反 注 入 技术 的 进程 进行 注入 / 印 载 操 作 时 
可 能 失败 

(G3) 原则 上 ,进行 N 次 注入 操作 后 ,必须 执行 相同 次 数 的 种 载 操作 ,才能 将 相关 DLL 文 件 完全 
EER 

(4) 注入 前 先 查看 目标 进程 的 PE 文件 格式 ( 32 位 的 PE32 还 是 64 位 的 PE32+ ), 然后 再 选择 相应 
的 注入 程序 CInjDII32.exe, InjDIl64.exe ) 与 DLL 文件 (32 位 的 PE32、64 位 的 PE32+ ) 
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代码 逆向 分 析 领 域 中 ，TLS (Thread Local Storage， 线 程 局 部 存储 ) 回调 函数 (Callback 
Function ) 常用 于 反 调 试 , 本 章 将 学 习 TLS 回 调 函 数 的 相关 知识 。TLS 回 调 函 数 的 调用 运行 要 先 于 
EP 代码 的 执行 , 该 特征 使 它 可 以 作为 一 种 反 调试 技术 使 用 。 下 面 通过 练习 示例 来 了 解 有 关 TLS 回 
调 函 数 的 内 容 。 
提示 
所 有 练习 示例 在 Windows XP & 7 (3242) 中 通过 测试 。 


45.1 练习 #1: HelloTIs.exe 


如 图 45-1 所 示 。 


Hello :) 











图 45-1 运行 HelloTls.exe 程 序 


下 面 使 用 OllyDbg 调 试 练 习 示例 程序 。 在 OllyDbg 调 试 器 中 打开 并 运行 HelloTls.exe 文 件 , 弹出 
如 图 45-2 所 示 的 消息 对 话 框 。 


TLS Callback 


Debugger Detected! 








图 45-2 ”在 OllyDbg 中 打开 HelloTls.exe 文 件 


如 图 45-2 所 示 ， 消 息 对 话 框 中 显示 的 内 容 与 程序 正常 运行 时 显示 的 内 容 不 同 。 单 击 “ 确 定 ” 
按钮 ，HelloTls.exe 进 程 随即 终止 ， 如 图 45-3 所 示 。 


45.2 TLS 453 








0 有 06056055 LEN ESP,DUORD PTR SS: 
8D6424 Bü LER ESP.DUORD PTR SS: [ESP] 
805424 08 LER EDX,DUORD PTR SS: [ESP+8J 












P 
PUSH 于 
SBEC MOU EBP 
SDR424 SOFDFFFF LER ESP, " BüoRD PTR SS: L[ESP-2D83 
ES 5301808000 CRLL tiic 
8B55 04 OU EDX, DWORD PTR SS: LEBP*41 
8845 _08 MOU EAX, DWORD PTR SS: i we 
838424 C4000000 04 RDD DWORD PTR SS:LESP*C41, 4 

MOU DWORD PTR DS: [EAX+C], EDX 
C70424 07000100 TR SS: [ESP], 10887 
SBCC MOU ECX,ESP 
















图 45-3 OllyDbg: HelloTls.exe 进 程 终止 


正常 运行 与 调试 运行 中 出 现 不 同行 为 的 原因 在 于 ， 程 序 运行 EP 代码 前 先 调 用 了 TLS 回 调 函 
数 , 而 该 回调 函数 中 含有 反 调 试 代码 , 使 程序 在 被 调试 时 弹出 “Debugger Detected!” 消 息 对 话 框 。 
如 果 不 理解 这 一 原理 ,调试 将 无 法 继续 。 以 上 练习 示例 虽然 简单 ， 但 却 很 好 地 描述 了 TLS 回 调 函 
数 的 行为 特征 。 接 下 来 讲 TLS 与 TLS 回 调 函 数 的 相关 知识 ， 学 习 其 工作 原理 。 


45.2 TLS 


讲解 TLS 回 调 函 数 前 ， 先 简单 了 解 一 下 有 关 TLS 的 知识 。TLS 是 各 线程 的 独立 的 数据 存储 空 
间 。 使 用 TLS 技 术 可 在 线程 内 部 独立 使 用 或 修改 进程 的 全 局 数据 或 静态 数据 ， 就 像 对 待 自身 的 局 
部 变量 一 样 ( 编程 中 这 种 功能 非常 有 用 )。 
提示 
关于 TLS 更 详细 的 介绍 请 参考 以 下 网 址 : 
http://msdn.microsoft.com/en-us/library/ms686749(VS.85).aspx 


45.2.1 IMAGE DATA DIRECTORYI[9] 


若 在 编程 中 启用 了 TLS 功 能 ，PE 头 文件 中 就 会 设置 TLS 表 ( TLS Table) 项 目 ， 如 下 图 所 示 
(IMAGE NT HEADERS-IMAGE OPTIONAL HEADER-IMAGE DATA DIRECTORYT[9] ). 
如 图 45-4 所 示 ，IMAGE TLS DIRECTORY 结 构 体 位 于 RVA 9310 地 址 处 。 








RVA Data Description Value 
G000018C e000001C Size 
00000190 00000000 RVA Architecture Specific Data 
90000194 00000000 Size 
060000198 00000000 RVA GLOBAL POINTER Register 





0606000180 200000000 RVA BOUND IMPORT Table 
(90000184 00000000 Size 
| @0@0@@1B8 00008000 RVA IMPORT Address Table 


图 45-4 PEView: TLS Table 
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45.2.2 IMAGE TLS DIRECTORY 





代码 45-1 IMAGE TLS DIRECTORY Uk i 
typedef struct IMAGE TLS DIRECTORY64 ( 
ULONGLONG | StartAddressOfRawData; 
ULONGLONG EndAddressOfRawData; 
ULONGLONG | AddressOfIndex; // PDWORD 
ULONGLONG — AddressOfCallBacks; // PIMAGE TLS CALLBACK *; 
DWORD | SizeOfZeroFill; 
DWORD | Characteristics; 
) IMAGE TLS DIRECTORY64; 
typedef IMAGE TLS DIRECTORY64 * PIMAGE TLS DIRECTORY64; 


typedef struct IMAGE TLS DIRECTORY32 ( 
DWORD | StartAddressOfRawData; 
DWORD | EndAddressOfRawData; 
DWORD . AddressOfIndex; i // PDWORD 
DWORD AddressOfCallBacks; // PIMAGE TLS CALLBACK * 
DWORD | SizeOfZeroFill; 
DWORD Characteristics; 
) IMAGE TLS DIRECTORY32; 
typedef IMAGE TLS DIRECTORY32 * PIMAGE TLS DIRECTORY32; 


#ifdef _WIN64 


typedef IMAGE TLS DIRECTORY64 IMAGE TLS DIRECTORY; 

typedef PIMAGE TLS DIRECTORY64 . PIMAGE TLS DIRECTORY; 

else 

typedef IMAGE TLS DIRECTORY32 IMAGE TLS DIRECTORY; 

typedef PIMAGE TLS DIRECTORY32 PIMAGE TLS DIRECTORY; 

#endif 出 处 : winnt.h from Microsoft SDK 


IMAGE_TLS_DIRECTORY 结 构 体 有 2 种 版 本 ,分别 为 32 位 版 本 与 64 位 版 本 ， 以 上 练习 示例 
中 使 用 的 是 32 位 版 本 的 结构 体 (大 小 为 18h )。 使 用 PEView 工 具 查 看 IMAGE TLS DIRECTORY 
结构 体 (RVA: 9310 )， 其 各 成 员 如 图 45-5 所 示 。 























RVA Data Description Value 
900009310 60040CO09 Start Address of Raw Data 
90009314 0040C001 End Address of Raw Data 
090009318 @@4@AC40 Address of Index 
00368114 Address of Callbacks 
90009320 00000000 Size of Zero Fill 
90009324 00000000 Characteristics 










-.IMAGE DEBUG DIRECTORY 
- IMAGE LOAD CONFIG DIRECT 








|- SECTION .text n 
G SECTION .rdata 
ORYE 
di | TYPE CODEVIE! = 
IMPORT Directory Table 
+- IMPORT Name Table f 


$ IMPORT Address Table 
IMPORT Hints/Names & DLL 
- 























= 
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图 45-5 PEView: IMAGE TLS DIRECTORY 


代码 逆向 分 析 中 涉及 的 比较 重要 的 成 员 为 AddressOfCallback6s， 该 值 指向 含有 TLS 回 调 函 数 
地 址 CVA ) 的 数组 。 这 意味 着 可 以 向 同一 程序 注册 多 个 TLS 回 调 函 数 ( 数组 以 NULL 值 结束 )。 


45.2.3 回调 函数 地 址 数组 
图 45-6 就 是 TLS 回 调 函 数 地 址 数组 。 
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VA Raw Data Value 
O004080EO0 7E 9B OO O0 OO OO OO OO 78 97 00 00 OO 00 00 60 LIPPE X... .... 
@04080F0 OO OD OO OO OO OO OD OO GO OO OO OO 7F 2D 40 66  ............ -g. 
00408100 E7 3E 40 O00 CA 60 40 00 27 13 40 00 00 O0 O0 00 ^8.'.8.... 





es 06 @@ 60 @@ 00 90 00 ë) 
060408120 00 00 O0 OO OO OO O0 GG O00 00 00 GƏ O0 00 G OO ................ 
00408130 00 00 00 O0 D2 C4 9B 4C 0O G0 00 OO 02 O00 00 OO — ....... L........ 
00408140 45 O0 O0 O0 28 93 00 O00 28 79 00 @@ 50 AC 40 00 E... (...(y..P.. 


图 45-6 PEView: AddressOfCallbacks 


该 数组 中 实际 存储 的 就 是 TLS 回 调 函 数 的 地 址 。 进 程 启动 运行 时 ，( 执行 EP 代码 前 ) 系统 会 
逐一 调用 存储 在 该 数组 中 的 函数 。 请 注意 ， 虽 然 以 上 练习 示例 中 仅 注 册 了 1 个 TLS 函 数 (地址 为 
401000 )， 但 其 实 我 们 可 以 通过 修改 程序 注册 多 个 TLS 函 数 。 


45.3 TLS 回调 函数 
接 下 来 从 技术 层面 简单 整理 之 前 介绍 的 TLS 回 调 函 数 相 关内 容 。 


所 谓 TLS 回 调 函数 是 指 , 每 当 创建 /终止 进程 的 线程 时 会 自动 调用 执行 的 函数 。 有 意 
思 的 是 , 创建 进程 的 主线 程 时 也 会 自动 调用 回调 函数 ， 且 其 调用 执行 先 于 EP 代码 。 反 调 
斌 技术 利用 的 就 是 TLS 回 调 函 数 的 这 一 特征 。 


请 注意 ,创建 或 终止 某 线程 时 ，TLS 回 调 函 数 都 会 自动 调用 执行 , 前 后 共 2 次 ( 原意 即 为 此 )。 
执行 进程 的 主线 程 (运行 进程 的 EP 代码 ) 前 ，TLS 回 调 函 数 会 先 被 调用 执行 ,许多 逆向 分 析 人 员 
将 该 特征 应 用 于 程序 的 反 调试 技术 。 


IMAGE TLS CALLBACK 
TLS 回 调 函 数 的 定义 如 代码 45-2 所 示 。 


52 TLS Calor X S NU QMECNEUUIMNEKUNU EUN 
typedef VOID 
(NTAPI *PIMAGE TLS CALLBACK) ( 

PVOID DllHandle, 

DWORD Reason, 


PVOID Reserved 
J3 出 处 : winnt.h from Microsoft SDK 


仔细 观察 TLS 回 调 函 数 的 定义 可 以 发 现 , 它 与 DIMain0 函 数 的 定义 类 似 。 代码 45-3 是 DllMain0 
函数 的 定义 。 


代码 45-3 ”DliMain() 函 数 定义 


BOOL WINAPI DllMain( 
__in HINSTANCE hinstDLL, 
__in DWORD fdwReason, 
__in LPVOID lpvReserved 
Hi 出 处 : http//msdn.microsoft.com/en - us/library/ms682583(VS.85).aspx 
观察 以 上 2 个 函数 可 以 发 现 ， 它 们 的 参数 顺序 与 含义 都 是 一 样 的 。 其 中 ,参数 DllHandle 为 模 
块 句柄 ( 即 加 载 地址 )， 参 数 Reason 表 示 调 用 TLS 回 调 函 数 的 原因 ， 具 体 原 因 有 4 种 ， 如 代码 45-4 


所 示 。 
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代码 45-4 Reason 


#define DLL PROCESS ATTACH 1 

#define DLL THREAD ATTACH 2 

#define DLL THREAD DETACH 3 

#define DLL PROCESS DETACH 0 出 处 ;winnt.h from Microsoft SDK 


要 想 准 确 理 解 TLS 回 调 函 数 的 工作 原理 ( 在 哪个 时 间 点 调用 哪个 回调 函数 )， 最 好 的 方法 就 
是 亲自 创建 。 接 下 来 做 第 二 个 练习 示例 ， 以 进一步 学 习 TLS 回 调 函 数 的 工作 原理 。 


45.4 练习 #2: TlsTest.exe 


TlsTest.exe 程 序 是 使 用 Visual C++ 编写 的 ， 它 向 各 位 充分 展现 了 注册 TLS 回 调 函 数 的 方法 。 代 
1345-5 ( TlsTest.cpp ) 是 TlsTest.exe 程 序 的 源 代码 。 


代码 45-5 TlsTest.cpp 


#include <windows .h> 

#pragma comment(linker, "/INCLUDE: tls used") 

void print console(char* szMsg) 

: HANDLE hStdout = GetStdHandle(STD OUTPUT HANDLE); 


WriteConsoleA(hStdout, szMsg, strlen(szMsg), NULL, NULL); 


~ 


void NTAPI TLS CALLBACK1(PVOID DllHandle, DWORD Reason, PVOID Reserved) 
{ 
char szMsg[80] = {0,}; 
wsprintfA(szMsg, “TLS_CALLBACK1() : DllHandle = %X, Reason = %d\n”, 
DllHandle, Reason); 
print console(szMsg); 


w 


void NTAPI TLS CALLBACK2(PVOID DllHandle, DWORD Reason, PVOID Reserved) 
{ 
char szMsg[80] = {0,}; 
wsprintfA(szMsg, “TLS_CALLBACK2() : DllHandle = %X, Reason = %dNn”, 
DllHandle, Reason); 
print_console(szMsg); 
} 


#pragma data seg(“.CRT$XLX”) 
PIMAGE TLS CALLBACK pTLS CALLBACKs[] = (TLS CALLBACK1, TLS CALLBACK2, 
0}; 
#pragma data_seg() 


DWORD WINAPI ThreadProc(LPVOID lParam) 


: print console("ThreadProc() startWn"); 
print console("ThreadProc() end\n”); 
return 0; 

} 

T main(void) 


HANDLE hThread = NULL; 
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print console("main() startWn"); 


hThread = CreateThread(NULL, 0, ThreadProc, NULL, ©, NULL); 
WaitForSingleObject(hThread, 60*1009); 
CloseHandle(hThread); 


print console("main() endWn"); 
return 0; 


TlsTest.cpp 源 代码 中 注册 了 2 个 TLS 回 调 函 数 ( TLS CALLBACK1, TLS CALLBACK2 ), È 
们 也 非常 简单 ， 只 是 将 DllIHandle 与 Reason 这 2 个 参数 的 值 输出 到 控制 台 ， 然 后 终止 退出 。main() 
函数 也 非常 简单 ， 创 建 用 户 线程 ( ThreadProc ) 后 终止， main() 与 ThreadProc() 内 部 分 别 将 函数 开 
始 / 终 止 日 志 输 出 到 控制 台 。 图 45-7 是 TlsTest.exe 程 序 运 行 的 画面 








* = : 
ma 管理 员 : C\Windows\System32\cmdexe 


188888, Reason 


498898, 
48389A 


4808989, 
49888980, Reason 














图 45-7 TIlsTest.exe 程 序 运行 画面 
下 面 分 别 讲解 各 了 艺 数 调用 顺序 
45.4.1 DLL PROCESS ATTACH 


进程 的 主线 程 调 用 main0 函数 前 ,已 经 注册 的 TLS 回 调 消 数 ( TLS CALLBACKI 、 
TLS CALLBACK2 ) 会 先 被 调用 执行 ， 此 时 Reason 的 值 为 1 ( DLL PROCESS ATTACH )。 


45.4.2 DLL THREAD ATTACH 


所 有 TLS 回 调 函 数 完成 调用 后 ，main0 函 数 开 始 调用 执行 ， 创 建 用 户 线程 ( ThreadProc ) 前 ， 
TLS 回 调 了 水 数 会 被 再 次 调用 执行 ， 此 时 Reason=2 (DLL THREAD ATTACH )。 


45.4.3 DLL THREAD DETACH 


TLS EIJ RR EHITIS , ThreadProc()ZE/ ££ RRA 45638 RH3A1 .. FAUT SE EJ Reason-3 
(DLL THREAD DETACH )，TLS 回 调 函 数 被 调用 执行 


45.4.4 DLL PROCESS DETACH 


ThreadProc() 线 程 函 数 执行 完毕 后 ,一直 在 等 待 线程 终 止 的 main() 函 数 ( 主线 程 ) 也 会 终止 。 
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此 时 Reason=0 (DLL PROCESS DETACH ),TLS 回 调 函 数 最 后 一 次 被 调用 执行 。 以 上 TlsTest.exe 
练习 示例 中 ,2 个 TLS 回 调 函 数 分 别 被 调用 执行 了 4 次 , 总 共 为 8 次 。 现 在 我 们 已 经 对 TLS 回 调 函 数 
的 注册 及 工作 原理 有 了 深入 了 解 。 接 下 来 学 习 其 调试 方法 。 

TisTest.cpp 源 文 件 中 并 未 使 用 printfOD) 函 数 ， 因 为 开启 特定 编译 选项 (/MT ) 编译 源 
程序 时 ， 先 于 主线 程 调 用 执行 的 TLS 回调 函数 中 可 能 发 生 Run-Time Error (运行 时 错 
jk )。 此 时 可 以 直接 调用 WriteConsole() API 来 以 防 万 一 。 


45.5 调试 TLS 回调 函数 


若 直接 使 用 调试 器 打开 带 有 TLS 回 调 函 数 的 程序 ， 则 无 法 调试 TLS 回 调 函 数 ， 因 为 TLS 回 调 
函数 在 EP 代码 之 前 就 被 调用 执行 了 。 练 习 示 例 #1 文件 ( HelloTls.exe ) 中 ，TLS 回 调 函 数 内 部 还 含 
有 有 反 调 试 代码 ， 这 使 程序 调试 无 法 继续 。 如 图 45-8 所 示 ， 此 时 修改 OllyDbg 选 项 就 可 以 调试 TLS 
回调 函数 。 

Wi oec opto w 


Commands | Disasm | CPU | Registers | Stack | Analysis 1 | Analysis 2 | Analysis 3 | 
Security | Debug Exceptions | Trace | SFX | Stings | Addresses | 





[^ Break on new module (DLL) 
[^ Break on module (DLL) unloading 


[ Break on new thread 
[^ Break on thread end 
[^ Break on debug string 


图 45-8 OllyDbg: 复 选 “System breakpoint” 


然后 重启 调试 器 重新 调试 HelloTls.exe， 调 试 器 就 会 在 ntdll.dl 模 块 内 部 的 “System Startup 
Breakpoint” 处 暂停 ， 如 图 45-9 所 示 。 

调试 器 暂停 的 位 置 即 是 系统 启动 断 点 ( System Startup Breakpoint )。 在 OllyDbg 调 试 器 的 默认 
设置 下 ， 调 试 器 会 在 EP 处 暂停 ， 而 WinDbg 调 试 器 默认 在 系统 启动 断 点 暂停 。 

参考 图 45-5 与 图 45-6 获 取 TLS 回 调 函 数 的 地 址 ， 然 后 在 回调 函数 的 起 始 地 址 设置 好 断 点 ， 这 
样 就 可 以 调试 TLS 回 调 函 数 了 。 

使 用 特定 调试 器 插件 ( 如 Olly Advanced ) 时 ， 存 在 一 个 “和 暂停 在 TLS 回 调 函 数 ”的 选项 ， 使 
用 起 来 更 加 方便 。 此 外 ， 最 新 版 本 的 OllyDbg ( 版 本 2.0 以 上 ) 默认 提供 “暂停 在 TLS 回 调 函 数 ” 
的 选项 ， 如 图 45-10 所 示 。 


45.6 手工 添加 TLS 回调 函数 








77Dn69E93 | 385D E7 CMP BYTE PTR SS:[EBP-19],BL 
77DRBEB6 |, 75 17 JNZ SHORT 77DAB8E1F 77DABE1F 
77DABES88 | 895D FC | HOU DWORD PTR SS:[EBP-^],EBX 









|| zzba ec eg | INT3 

和 77DR6E65 IU DWORD PTR SS:[EBP-1],l — 5 
| Z7Dñ OE BF |JMP SHORT 77DABE1F 77DABE1F 
|77ba6E11| 33c8 | XOR ERX ,EAX 


7zpaeE13 | ^8 INC ERX 
| 77DAQE14| C3 RETN 
|77paer15 | 8B65 E8 MOU ESP,DWORD PTR c iban 





| 77DA0E18 C745 FC FEFFFE MOU DWORD PTR SS:[EBP-N],-2 
i 








图 45-9 OllyDbg: 在 System Startup Breakpoint 处 暂停 
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图 45-10 OllyDbg 2.08 “TLS callback” 选 项 
请 各 位 亲自 调试 HelloTls.exe 的 TLS 回 调 函数 。 
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我 比较 喜欢 翻 看 并 修改 PE 文件 ， 借 助 几 种 工具 ( OllyDbg、PEView、HxD )， 我 们 可 以 随心 
所 谷地 修改 PE 文件 。 本 节 的 目标 是 直接 修改 Hello.exe 文 件 (PE 文件 )， 为 其 添加 TLS 回 调 函 数 ， 
使 之 与 前 面 介绍 的 HelloTls.exe 练 习 文 件 具有 类 似 的 行为 功能 。 下 面向 大 家 介绍 手工 修改 PE 文件 


并 添加 TLS 回 调 函 数 的 过 程 。 


提示 


练习 即 可 逐渐 掌握 。 


随心 所 欲 地 修改 PE 文件 前 ， 需 要 了 解 PE 文件 格式 相关 知识 ， 并 通过 大 量 练习 来 
熟悉 它们 。 此 外 ， 不 同 版 本 Windows OS 的 PE 装载 器 的 行为 动作 会 有 细微 差别 


， 反 复 
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45.6.1 修改 前 的 原 程序 


修改 前 的 原 程序 为 Hello.exe, 它 非常 简单 ,运行 时 弹出 一 个 消息 框 ,然后 终止 退出 , 如 图 45-11 
所 示 。 





maini) 





Hello :) 














图 45-11 运行 Hello.exe 程 序 


我 们 的 目标 是 手工 修改 原 程 序 文 件 ， 添 加 TLS 回 调 函数 ， 使 之 与 HelloTls.exe 具 有 类 似 行为 。 


45.6.2 ”设计 规划 


首先 要 确定 IMAGE _TLS_DIRECTORY 结 构 体 与 TLS 回 调 函 数 放 到 文件 的 哪个 位 置 。 向 某 个 
PE 文件 添加 代码 或 数据 时 ， 有 如 下 3 种 方法 来 查找 合适 位 置 : 

第 一 ， 添 加 到 节 区 末尾 的 空白 区 域 。 

第 二 ， 增 加 最 后 一 个 节 区 的 大 小 。 

第 三 ， 在 最 后 添加 新 节 区 。 

这 里 采用 第 二 种 方法 ， 即 增加 最 后 一 个 节 区 的 大 小 (参考 图 45-14 ). fi HHPEView Zr & 
Hello.exe 文 件 最 后 一 个 节 区 ( :rsrc ) 的 节 区 头 〈 请 注意 ，Hello.exe 的 Section Alignment-1000, File 
Alignment=200 )， 如 图 45-12 所 示 。 





VA Data Description Value 
00400258 2E 72 73 72 Name -Psrc 
@040025C 63 eo oe eo 
600400260  €0000184 Virtual Size 
80400264 @@9@C@@@_ RVA 
00400268 00000200 Size of Raw Data 
ee40026C  — 60009600 Pointer to Raw Data 
00400270 00600000 Pointer to Relocations 
(00400274 — 60000000 Pointer to Line Numbers 
060400278 2000 Number of Relocations 








09049027A 2000 Number of Line Numbers 

9040027C 400006049 Characteristics 
00000840 IMAGE_SCN_CNT_INITIALIZED_DATA 
40000000 IMAGE_SCN_MEM_READ 








图 45-12 PEView: Hello.exe 的 .rsrc 


可 以 看 到 ， 最 后 一 个 节 区 ( .rsrc ) 的 Pointer to Raw Data=9000, Size of Raw Data=200。 所 以 
PE 头 中 定义 的 文件 整体 大 小 为 9200。 考虑 到 要 添加 的 代码 与 数据 的 大 小 , 我 们 将 最 后 一 个 节 区 的 
大 小 增加 200 (文件 的 大 小 增加 到 9400 )。 使 用 HxD 工 具 打 开 Hello.exe 文 件 , 移动 光标 至 最 后 位 置 ， 
在 菜单 栏 中 选择 Edit-Insert bytes 菜 单 ， 打 开 插 和 人 字 节 对 话 框 。 

如 图 45-13 所 示 , 向 Bytecount 中 输入 200, 单 击 OK 按 钮 后 , 即 从 光标 的 当前 位 置 新 添加 了 200h 
个 字 节 ( 即 512 个 字 节 )。 
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Range [decimal]: [ 9 - | 258] 





图 45-13 HxD: Insert bytes 对 话 框 


图 45-12 中 Virtual Size 为 1B4, PE 装载 器 会 按照 Section Alignment 值 对 齐 该 值 ， 
即 加 载 到 内 存 中 的 大 小 为 1000( 一定 要 理解 好 这 个 关系 )。 所 以 将 节 区 的 文件 大 小 增加 
200 后 ， 实 际 Virtual Size 值 变 为 3B4， 它 比 加 载 到 内 存 中 的 尺寸 1000 要 小 ， 所 以 不 需 
要 再 单独 增 大 Virtual Size 的 值 。 





requestedprivile 
ges>.. </secu 
rity».. «/trust 
Info»..«/assembl 
y»PAPADDINGXXPAD 
DINGPADDINGXXPAD 


DINGPADDINGXXPAD 
DINGPADDINGXXPAD 
DINGPADDINGXXPAD 


$ 
š 


P$8$$2$$$38388 








PSS29982352325bb42 
P$$238$$32$3583 
P$2$9839322525555 
Pes 
P$$$328$8528$8 
PS3889$299829885RRBRb95 
P$38299222823bkbbbbn55 
?)3$33$$2$39323555255585 
BBS 
P3$$898$32238$583 
P$3$$223$288$58 
P»$2$92$$$22283 








图 45-14 HxD: 增加 最 后 一 个 节 区 的 大 小 





45.6.3 ”编辑 PE 文件 头 


.rsrc 节 区 头 
请 参考 图 45-12， 分 别 修 改 .rcrs 节 区 头 中 Size of Raw Data 与 Characteristics 的 值 ， 即 Size of Raw 
Data=400 、Characteristics=E0000060， 如 图 4$-15$ 所 示 。 
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Offset(h) ee 81 82 03 e4 605 @6 07 08 69 GA ƏB GC OD GE GF 
eeoono210 80 1B 00 O00 O0 80 O0 OO OG 1C GO OO O0 66 00 OO £....€....... T... L3 
00000220 GO 60 O0 88 OO 60 OO OD OO OO OO OO 40 G0 OO 40 

00000239 2E 64 61 74 61 @Q a 

000090249 
00000250 
00000260 
60000276 
090000280 
900000290 
00000240 
090006280 
eacca2ce 
eesco2De 





ë š š ë ë ë ë z ë ë 
$8$$$$$52$5 
ë š š ë ë š ë ë ë ë 
$$9882$$$$88 
$88838$883$58 
$ ë ë ë ë ë ë 9 š 






33388888: 
S238328 





6000027 





图 45-16 PEView: Characteristics 


在 原 有 属性 的 基础 上 新 增加 了 IMAGE SCN. CNT CODE[IMAGE SCN MEM EXECUTE| 
IMAGE SCN MEM_ WRITE 属性 。 

提示 一 一 
由 于 要 在 扩展 区 域内 创建 IMAGE TLS DIRECTORY 结构 体 与 TLS 回调 函数 ， 所 
以 需要 向 该 节 区 添加 IMAGE SCN_CNT_CODEIIMAGE SCN MEM EXECUTE 属性 。 
此 外 ， 还 必须 向 包含 IMAGE TLS DIRECTORY 结构 体 的 节 区 添加 IMAGE SCN 
MEM_WRITE 属性 ， 才 能 保证 正常 运行 。 








IMAGE_DATA_DIRECTORY[9] 

接 下 来 要 设置 TLS 表 (IMAGE NT HEADERS-IMAGE OPTIONAL HEADER-IMAGE DATA ` 
DIRECOTRY [9] ) 的 值 。. 从 图 45-14 中 可 以 看 到 ,扩展 区 域 的 起 始 地 址 为 92200( 文件 偏 移 ). TEPEView 
中 查看 该 地 址 为 C200( RVA 地 址 )， 我 们 将 从 该 地 址 处 创建 IMAGE_TLS_DIRECTORY 结 构 体 。 
因此 修改 PE 文件 头 中 的 IMAGE DATA DIRECTORY[9], 如 图 45-17 所 示 ( RVA=C200, Size=18 )。 





Offset(h) 00 81 02 03 84 @5 06 07 a 
00000150 GO 00 10 00 96 10 00 08 (3 
060000160 GO 00 BO O0 GO OO OO OO 

00000170 00 CO 88 GO B4 O1 60 O0 

@0000180 OO 00 O0 O0 OO OO O0 GG 

09000199 20 81 G0 Oe 1C GƏ 00 O0 

eeooeiae G0 eo oo oe oo eo oe eefi 

eeeceiBa 9G 92 00 GG 4G GB O0 0G C 

eeeoceice GO 80 @@ GG FO OO OO GG ee 

e00001DO GO 00 G0 O0 GO GO BO 80 98 

G60001tO 2E 74 65 78 74 00 00 00 eo 

9eeoeoiFo GG 62 88 Ge OG O4 @@ eo oe 

060000200 GO 00 GO O0 20 O0 00 60 64 

060000210 80 1B G8 00 OO 80 O0 O0 L 

060000220 00 60 G0 O0 GG OO O0 O0 ee - 

图 45-17 HxD: IMAGE DATA DIRECTORY 
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修改 后 用 PEView 工 具 查看 ， 如 图 45-18 所 示 。 


Data Description Value 
Architecture Specific Data 


GLOBAL POINTER Register 











图 45-18 PEView: IMAGE DATA DIRECTORY 


45.6.4 i&& IMAGE TLS DIRECTORY 结构 体 


接 下 来 设置 IMAGE TLS DIRECTORY 结 构 体 ， 只 要 把 TLS 回 调 函 数 注册 到 其 中 即 可 。 编 辑 
设置 IMAGE TLS _ DIRECTORY 结 构 体 ， 如 图 45-19 所 示 。 


IMAGE TLS DIRECTORY - 










ÓINGPADDINGXXPAD 
DINGPADDINGXXPAD 
431844. DINGPADDINGXXPAD 

)] .à0..ág. A0.$A0. 





Array of TLS Callback Fuction 





TLS Callback Fuction 


图 45-19 HxD: IMAGE TLS DIRECTORY 


我 们 在 文件 偏 移 9200( RVA C200 ) 地 址 处 创建 了 IMAGE TLS DIRECTORY $% fA f -~ 
AddressOfCallbacks 成 员 的 值 为 VA 40C224 (文件 偏 移 9224 )， 它 是 Array of TLS Callback Function 
(TLS 回调 函数 数组 ) 的 起 始 地 址 。 只 要 把 TLS 回 调 函 数 的 地 址 ( 40C230 ) 放 入 该 数组 ( VA : 40C224, 
Offset: 9224 )， 即 可 成 功 注册 TLS 回 调 函 数 。 使 用 PEView 工 具 查看 设置 后 的 IMAGE TLS _ 
DIRECTORY 结 构 体 ， 如 图 45-20 所 示 。 


TS EET 























(^ SECTION .data [al 
fj. SECTION .rsrc 
IMAGE RESOURCE DIRECTOR* 
- IMAGE RESOURCE DIRECTORY 9040C220 Address of Index 


00000000 Size of Zero Fill 


THANG KESDUNCE DATA ENT 
00000000 Characteristics 


MANIFEST 6001 0409 
|.. IMAGE TLS DIRECTORY 





E 9646C224 Address of Callbacks 








[845-20 PEView: IMAGE _TLS_DIRECTORY 结 构 体 


464 $453 TLS 回调 函数 








先 向 TLS 回 调 函 数 写 人 “C2 0C00 - RETN 0C” 命 令 ， 即 在 TLS 回 调 函 数 中 不 执行 任何 操作 ， 
直接 返回 。 


提示 





TLS 回调 函数 的 返回 指令 不 是 RETN， 而 是 RETN 0C 指令 ， 因 为 函数 有 3 个 参数 
(大 小 为 0C )， 所 以 需要 修正 栈 ， 修 正大 小 为 0C。 


现在 运行 修改 后 的 Hello.exe 文 件 ， 若 修改 没有 问题 ， 则 能 正常 运行 。 
45.6.5 £m TLS 回调 函数 


上 述 准备 工作 全 部 完成 后 ， 接 下 来 编写 TLS 回 调 函 数 。 利 用 OllyDbg 的 汇编 功能 ， 从 40C230 
地 址 处 开始 编写 反 调 试 代 人 三， 如 图 45-21 所 示 。 






















[C] Eile view Debug. Options ` Window ` Help 








E| [m] T| [w] H 四 | "n 





i | [ESP+8] *Reason* param 
| Hm -> ond of function 
|FS: [38] El 
| IOS) => PEB. Be ingDebussed 
| BC2SF -> end of functio 


[ASCII "TLS Callback" 
ASCII "Debugger Detectedtf'" 


USERS2. MessageBonA 


kerne l32. En itProcess 











a8 
eo se on Oo aeo 


图 45-21 OllyDbg: 编写 TLS 回 调 函 数 





如 图 45-21 所 示 ， 编 写 好 TLS 回 调 函 数 后 ， 将 修改 的 代码 与 数据 全 部 选中 ( 40C230-40C291 ), 
在 鼠标 右键 中 依次 选择 Copy to executable-Selection - Save file 菜 单 , 保存 为 ManualHelloTls.exe 文 件 。 

下 面 简单 讲解 TLS 回 调 函 数 的 代码 。Reason 参 数值 为 1 ( DLL PROCESS ATTACH ) 时 ， 检 
查 PEB.BeingDebugged 成 员 ， 若 处 于 调试 状态 ， 则 弹出 消息 框 〈《MessageBoxA ) 后 终止 并 退出 进 
程 (ExitProcess )。 阅 读 代 码 时 ， 参 考 代码 注释 就 很 容易 把 握 代 码 结构 。 此 外 还 要 注意 ， 传 递 给 
MessageBoxA0 函 数 的 2 个 字符 串 参数 分 别 存储 在 40C270 与 40C280 地 址 处 。 

提示 

MessageBoxA() 与 ExitProcess() API 的 IAT 地 址 (分别 为 4080E8 与 408028 ) 使 用 
原 Hello.exe 的 IAT 中 的 即 可 。 在 OllyDbg 的 Assemble 对 话 框 中 ， 以 “CALL user32 
.MessageBoxA", "CALL Kernel32.ExitProcess” 形 式 输入 就 可 以 了 。OllyDbg 调试 器 会 


自动 求 得 API 的 地 址 并 输入 结果 。 如 果 要 调用 的 API 不 在 IAT 中 ， 那 么 编写 代码 时 要 
复杂 得 多 。 








45.6.6 ”最 终 完 成 


在 OllyDbg 中 打开 并 运行 上 面 编写 的 ManualHelloTIls.exe 文 件 时 ， 弹 出 “Debugger Detected!” 


45.7 小结 465 


WSHE, HIE845-22FF28, Hi "uüxE" Jn. FAZIT, QXGEBHTOLÓASAUTLS IS PR25U JJ o 
TLS Callback mx) 








Debugger Detected! 


| 


图 45-22 OllyDbg: 运行 ManualHelloTls.exe 


通过 手动 方式 向 PE 文件 添加 TLS 回 调 函 数 的 练习 到 此 结束 。 
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本 章 我 们 学 习 了 TLS 回 调 函 数 的 工作 原理 及 具体 实现 方法 ， 并 了 解 了 其 调试 方法 。TLS 回 调 
函数 常用 于 反 调 试 ， 请 各 位 务必 掌握 本 章 知识 。 


第 46 章 TEB 


本 章 将 学 习 有 关 TEB (Thread Environment Block， 线 程 环境 块 ) 的 知识 ， 它 们 是 我 们 后 面 要 
学 习 的 高 级 调试 技术 的 基础 ， 请 大 家 认真 学 习 ， 理 解 并 掌握 相关 概念 。 


46.1 TEB 


TEB 指 线程 环境 块 ， 该 结构 体 包 含 进 程 中 运行 线程 的 各 种 信息 ,进程 中 的 每 个 线程 都 对 应 一 
个 TEB 结 构 体 .不 同 OS 中 TEB 结 构 体 的 形态 略微 不 同 , 有 关 TEB 结 构 体 的 详细 说 明 都 已 被 文档 化 ， 
各 位 可 以 直接 查看 并 参考 。 


46.1.1 TEB 结构 体 的 定义 


HODRRMSDNVTOST TEBAS BEIM. 


代码 46-1 TEB 结 构 体 ` 

typedef struct TEB { 
BYTE Reserved1[1952]; 
PVOID Reserved2[412]; 
PVOID TlsSlots[64]; 
BYTE Reserved3[8]; 
PVOID Reserved4[26]; 
PVOID ReservedForOle; 
PVOID Reserved5[4]; 
PVOID TlsExpansionSlots; 

} TEB, *PTEB; High. MSDN 


正如 大 家 所 见 , MSDN 对 TEB 结 构 体 的 说 明太 过 简单 。 要 想 查 看 关于 TEB 结 构 体 的 更 多 细节 ， 
必须 借助 类 似 于 WinDbg 的 内 核 调 试 器 (Kernel Debugger ) 才 行 。 
提示 
安装 并 运行 WinDbg 的 方法 请 参考 “WinDbg” 一 章 。 








46.1.2 TEB 结构 体 成 员 


使 用 WinDbg 调 试 器 获取 TEB 结 构 体 的 组 成 成 员 ， 如 下 所 示 。 
Windows XP SP3 中 


代码 46-2 Windows XP SP3 中 的 TEB 结 构 休 成 员 





+0x000 NtTib : SNT.TIB 
+0x01c EnvironmentPointer : Ptr32 Void 
*0x020 ClientId : CLIENT ID 


+0x028 ActiveRpcHandle : Ptr32 Void 

-0x02c ThreadLocalStoragePointer : Ptr32 Void 
*0x030 ProcessEnvironmentBlock : Ptr32 PEB 
*0x034 LastErrorValue : Uint4B 

*0x038 CountOfOwnedCriticalSections : Uint4B 





+0x03c 
+0x040 
+0x044 
*0x0ac 
*0x0c0 
*0x0c4 
*0x0c8 
*0x0cc 
*0x1a4 
*0x1a8 
+0x1bc 
+0x1d4 
+0x6b4 
+0x6bc 
+0x6c0 
+0x6c4 
+0x6c8 
+9x6cc 
+0x7c4 
+0xb68 
+0xbdc 
+0xbe0 
+0xbe4 
+0xbe8 
+0xbec 
40xbf0 
*Oxbf4 
*Oxbf8 
*0xc00 
40xeOc 
*0xe10 
+0xf10 
+0xf18 
+0xf1c 
+0xf20 
+0xf28 
+0xf2c 
+0xf6c 
+0xf70 
*0xf74 
*0xf75 
*0xf76 
*0xf77 
*0xf78 
*Oxf7c 
+0xf80 
+0xf84 
+0xf88 
+0xf94 
+0xf98 
+0xf9c 
*0xfa0 
+0xfa4 
+0xfa8 
+0xfac 
+0xfb0 
+0xfb4 
+0xfb5 


CsrClientThread 
Win32ThreadInfo 
User32Reserved 
UserReserved 
W0W32Reserved 
CurrentLocale 


SystemReserved1 
ExceptionCode 


: Ptr32 Void 
: Ptr32 Void 


[26] Uint4B 
[5] Uint4B 


: Ptr32 Void 
: Uint4B 
FpSoftwareStatusRegister : 


Uint4B 
[54] Ptr32 Void 


: Int4B 
ActivationContextStack : 


_ACTIVATION CONTEXT STACK 


SpareBytes1 [24] UChar 
GdiTebBatch : GDI TEB BATCH 
RealClientId : CLIENT ID 
GdiCachedProcessHandle : Ptr32 Void 
GdiClientPID : Uint4B 
GdiClientTID : Uint4B 
GdiThreadLocallInfo : Ptr32 Void 
Win32ClientInfo [62] Uint4B 
glDispatchTable [233] Ptr32 Void 
glReservedl : [29] Uint4B 
glReserved2 : Ptr32 Void 
glSectionInfo : Ptr32 Void 
glSection : Ptr32 Void 
glTable : Ptr32 Void 
glCurrentRC : Ptr32 Void 
glContext : Ptr32 Void 
LastStatusValue : Uint4B 
StaticUnicodeString : Unicode STRING 
StaticUnicodeBuffer : [261] Uint2B 
DeallocationStack : Ptr32 Void 
TlsSlots : [64] Ptr32 Void 
TlsLinks : LIST ENTRY 

Vdm : Ptr32 Void 
ReservedForNtRpc : Ptr32 Void 
DbgSsReserved [2] Ptr32 Void 


HardErrorsAreDisabled : 


Uint4B 


Instrumentation [16] Ptr32 Void 
WinSockData : Ptr32 Void 
GdiBatchCount : Uint4B 
InDbgPrint : UChar 
FreeStackOnTermination : UChar 
HasFiberData : UChar 
IdealProcessor : UChar 

Spare3 : Uint4B 
ReservedForPerf : Ptr32 Void 
ReservedFor0le : Ptr32 Void 
WaitingOnLoaderLock : Uint4B 
Wx86Thread :  Wx86ThreadState 
TlsExpansionSlots : Ptr32 Ptr32 Void 
ImpersonationLocale : Uint4B 
IsImpersonating : Uint4B 

NlsCache : Ptr32 Void 
pShimData : Ptr32 Void 
HeapVirtualAffinity : Uint4B 


CurrentTransactionHandle : 
: Ptr32 TEB ACTIVE FRAME 
: UChar 


ActiveFrame 
SafeThunkCall 
BooleanSpare 


Ptr32 Void 


[3] UChar 
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Windows 7 中 
+0x000 NtTib : NT TIB 
+0x01lc EnvironmentPointer : Ptr32 Void 
-0x020 ClientId : CLIENT ID 


+0x028 ActiveRpcHandle : Ptr32 Void 

+0x02c ThreadLocalStoragePointer : Ptr32 Void 
+0x030 ProcessEnvironmentBlock : Ptr32 _PEB 
-0x034 LastErrorValue : Uint4B 

+0x038 CountOfOwnedCriticalSections : Uint4B 
+0x03c CsrClientThread : Ptr32 Void 

+0x040 Win32ThreadInfo : Ptr32 Void 


+0x044 User32Reserved : [26] Uint4B 
*0x0ac UserReserved : [5] Uint4B 

+0x0c0 WOW32Reserved : Ptr32 Void 

+0x0c4 CurrentLocale : Uint4B 


-0x0c8 FpSoftwareStatusRegister : Uint4B 
*0x0cc SystemReservedl : [54] Ptr32 Void 


*0x1a4 ExceptionCode : Int4B 

+0x1a8 ActivationContextStackPointer : Ptr32  ACTIVATION CONTEXT STACK 
*0xlac SpareBytes : [36] UChar 
*0x1d0 TxFsContext : Uint4B 

*0x1d4 GdiTebBatch : GDI TEB BATCH 
+0x6b4 RealClientId z. CLIENT ID 
*0x6bc GdiCachedProcessHandle : Ptr32 Void 
+0x6c0 GdiClientPID : Uint4B 

+0x6c4 GdiClientTID : Uint4B 

*0x6c8 GdiThreadLocalInfo : Ptr32 Void 
*O0x6cc Win32ClientInfo : [62] Uint4B 
*0x7c4 glDispatchTable : [233] Ptr32 Void 
*0xb68 glReservedl : [29] Uint4B 
*O0xbdc glReserved2 : Ptr32 Void 
*0xbe0 glSectionInfo : Ptr32 Void 
*Oxbe4 glSection : Ptr32 Void 
+0xbe8 glTable : Ptr32 Void 
+9xbec glCurrentRC : Ptr32 Void 
*O0xbfO glContext : Ptr32 Void 


40xbf4 LastStatusValue : Uint4B 

+9xbf8 StaticUnicodeString : Unicode STRING 
+0xc00 StaticUnicodeBuffer : [261] Wchar 
40xe0c DeallocationStack : Ptr32 Void 


+0xe10 TlsSlots : [64] Ptr32 Void 
+0xf10 TlsLinks : LIST ENTRY 
+0xf18 Vdm : Ptr32 Void 
+9xflc ReservedForNtRpc : Ptr32 Void 
*0xf20 DbgSsReserved : [2] Ptr32 Void 
*0xf28 HardErrorMode : Uint4B 

*O0xf2c Instrumentation : [9] Ptr32 Void 
+0xf50 ActivityId : GUID 

+0xf60 SubProcessTag : Ptr32 Void 
+0xf64 EtwLocalData : Ptr32 Void 
40xf68 EtwTraceData : Ptr32 Void 
+0xf6c WinSockData : Ptr32 Void 
-0xf70 GdiBatchCount : Uint4B 


*0xf74 CurrentIdealProcessor : PROCESSOR NUMBER 
+0xf74 IdealProcessorValue : Uint4B 


*0xf74 ReservedPadO : UChar 
*0xf75 ReservedPadl : UChar 
*0xf76 ReservedPad2 : UChar 


*0xf77 IdealProcessor : UChar 


46.1 TEB 469 
+0xf78 GuaranteedStackBytes : Uint4B 
+0xf7c ReservedForPerf : Ptr32 Void 
+9xf80 ReservedForOle : Ptr32 Void 
+0xf84 WaitingOnLoaderLock : Uint4B 
40xf88 SavedPriorityState : Ptr32 Void 
*0xf8c SoftPatchPtr1 : Uint4B 
*O0xf90 ThreadPoolData : Ptr32 Void 
40xf94 TlsExpansionSlots : Ptr32 Ptr32 Void 
+0xf98 MuiGeneration : Uint4B 
*O0xf9c IsImpersonating : Uint4B 
+0xfa0 NlsCache : Ptr32 Void 
+9xfa4 pShimData : Ptr32 Void 
*0xfa8 HeapVirtualAffinity : Uint4B 
*0xfac CurrentTransactionHandle : Ptr32 Void 
*0xfbO ActiveFrame : Ptr32 TEB ACTIVE FRAME 
*O0xfb4 FlsData : Ptr32 Void 
+0xfb8 PreferredLanguages : Ptr32 Void 
+9xfbc UserPrefLanguages : Ptr32 Void 
40xfcO MergedPrefLanguages : Ptr32 Void 
+0xfc4 Muilmpersonation : Uint4B 
+0xfc8 CrossTebFlags : Uint2B 
*0xfc8 SpareCrossTebBits : Pos 0, 16 Bits 
+9xfca SameTebFlags : Uint2B 
*Oxfca SafeThunkCall : Pos 0, 1 Bit 
*0xfca InDebugPrint : Pos 1, l Bit 
+9xfca HasFiberData ; Pos 2, 1-BIE 
+9xfca SkipThreadAttach : Pos 3, 1 Bit 
TOxfca WerInShipAssertCode : Pos 4, 1 Bit 
*Oxfca RanProcessInit : Pos 5, 1 Bit 
*Oxfca ClonedThread : Pos 6, 1 Bit 
*O0xfca SuppressDebugMsg : Pos 7, 1 Bit 
+0xfca DisableUserStackWalk : Pos 8, 1 Bit 
+0xfca RtlExceptionAttached : Pos 9, 1 Bit 
*O0xfca InitialThread : Pos 10, 1 Bit 
*0xfca SpareSameTebBits : Pos 11, 5 Bits 
*0xfcc TxnScopeEnterCallback : Ptr32 Void 
*0xfdO TxnScopeExitCallback : Ptr32 Void 
*0xfd4 TxnScopeContext : Ptr32 Void 
*0xfd8 LockCount. : Uint4B 
*Oxfdc SpareUlongO : Uint4B 
*O0xfe0 ResourceRetValue : Ptr32 Void 


如 上 所 示 , 借助 WinDbg 的 符号 文件 , 我 们 查看 了 TEB 结 构 体 的 所 有 成 员 。 仔细 比较 代码 46-2 
与 46-3 可 以 发 现 ，Windows 7 下 的 TEB 结 构 体 比 Windows XP 下 的 TEB 结 构 体 大 。 


46.1.3 ”重要 成 员 


如 上 所 示 ，TEB 结 构 体 的 成 员 多 而 复杂 ， 在 用 户 模式 调试 中 起 着 重要 作用 的 成 员 有 2 个 ， 如 
代码 46-4 所 示 。 


代码 46-4 TEB 结 构 体 的 重要 成 员 


+0x000 NtTib OSN AB 


+0x030 ProcessEnvironmentBlock : Ptr32 _PEB 


ProcessEnvironmentBlock FX 5i 
7c £i Offset 30 处 的 ProcessEnvironmentBlock 成 员 ， 它 是 指向 PEB (Process Environment Block, ijt 


程 环境 块 ) 结构 体 的 指针 。PEB 是 进程 环境 块 ， 每 个 进程 对 应 1 个 PEB 结 构 体 ， 下 一 章 将 详细 讲解 。 
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NtTib 成 员 
TEB 结 构 体 的 第 一 个 成 员 为 NT_TIB 结 构 体 ( TIB 是 Thread Information Block 的 简称 , 意 为 “ 线 


程 信息 块 ")，_NT_TIB 结 构 体 的 定义 如 下 所 示 : 





typedef struct NT TIB { 
struct EXCEPTION REGISTRATION RECORD *ExceptionList; 
PVOID StackBase; 
PVOID StackLimit; 
PVOID SubSystemTib; 
union { 
PVOID FiberData; 
DWORD Version; 
Nh 
PVOID ArbitraryUserPointer; 
struct NT TIB *Self; 
F NT TIB; 
typedef NT_TIB *PNT_TIB; 出 处 : SDK 的 winnt.h 


ExceptionList 成 员 指 向 EXCEPTION REGISTRATION _ RECORD 结构 体 组 成 的 链表 , 它 用 于 
Windows OS 的 SEH。Self 成 员 是 NT_TIB 结 构 体 的 自 引 用 指针 , 也 是 TEB 结 构 体 的 指针 ( 因为 TEB 
结构 体 的 第 一 个 成 员 就 是 NT_TIB 结 构 体 ), 那么 接 下 来 的 问题 是 , 该 如 何在 用 户 模式 下 访问 TEB 
结构 体 呢 ? 只 有 访问 它 才 能 使 用 相应 信息 。 下 一 节 将 学 习 如 何在 用 户 模 式 下 访问 TEB 结 构 体 。 





46.2 TEB 访问 方法 


前 面 讲解 过 ， 借 助 WinDbg 内 核 调试 器 可 以 很 容易 地 访问 TEB 结 构 体 。 那 么 ， 该 如 何在 用 户 
模式 下 访问 它 呢 ? 答案 就 是 ， 通 过 OS 提 供 的 相关 API 访 问 。 


请 注意 : 下 面 示例 中 出 现 的 地 址 会 随 用 户 计算 机 环境 的 不 同 而 不 同 。 








46.2.1 Ntdll.NtCurrentTeb() 


Ntdll.NtCurrentTeb() API 用 来 返回 当前 线程 的 TEB 结 构 体 的 地 址 。 该 函数 内 部 是 如 何 实 现 的 
呢 ? 下 面 使 用 OllyDbg 工 具 查 看 。 首 先 在 OllyDbg 中 打开 Notepad.exe 程 序 ( 也 可 以 打开 其 他 任 一 程 
序 )， 然 后 在 鼠标 右键 菜单 中 选择 Search for Name in all modules 菜 单 ZEName in all modules 对 话 
框 中 查找 ntdll.NtCurrentTeb() API， 如 图 46-1 所 示 ( 单 击 Name 栏 ， 按 Name 排 序 后 更 易 查找 )。 











75521278 KERNELBA | - Import -NtCreateSemaphore 


4 7552137C€ KERNELBRA .text Inport ntdlil.NtCreateThreadEx 
. 75521280 KERNELBA | .text Import  intdll.NtCreateTimer 
7716164C kernel32 .te Import e 


ItCreateUserP 





~ T5E011C4. RPCRTA Inport -NtDelayExecution 

| 76EC124C hDURPI32| .text Import ntdll.NtDelayExecution 

| 771614B8 kernel32|.text Import ntdll.NtDeleteñtom 

| 755215E8 KERNELBA| -text Import ntgdil.NtDeleteKey x 
| 76EC11C8 ADUAPI32| .text Import  ntdll.NtDeleteKey | 




















[546-1 Name in all modules 对 话 框 
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如 图 46-1 所 示 , 查找 到 NtCurrentTeb 函 数 后 ， 使 用 鼠标 双击 即 可 跳 转 到 该 API 的 代码 处 ， 如 图 
46-2 所 示 。 








| 772DC8A6 
8 « ls 












80 00 EO 58 
BS 1E DB HG 08 88 08 DD 8 868 0D 86 
i 68 8D 00 68 AC OF 68 00 2C F8 FD 7F 
[7FFDF836, 08 n8 FD 7F 88 60 DB GO, SS 00 O0 DƏ GO DD GG OD 
| 7FFDF8480| 00 00 88 O0 08 00 OD 00 BƏ 00 00 OG ƏH BO B8 DG 
|] zFFDF658 08 da BB DG 00 DD GB 05 88 OD DG 00 DD 60 OO HB 
7FFDF868|88 00 88 00 BG OB BD GO DB $8 HA DO 806 OB BG aaj —— 


ho 


| DECEPTI 















图 46-2  NtCurrentTeb() API 的 内 部 代码 


从 上 图 可 以 看 到 , NtCurrentTeb0 函 数 的 内 部 代码 非常 简单 ， 只 返回 FS:[18] 地 址 值 。 在 图 46-2 
的 OllyDbg 的 代码 注释 窗口 中 可 以 看 到 ，FS:[18] 的 实际 地 址 为 7FFDF018。 在 内 存 窗口 中 进入 
7FFDF018 地 址 ， 发 现 其 值 为 7FFDF000， 即 NtCurrentTeb() API 返 回 7FFDF000， 该 地 址 就 是 当前 
线程 的 TEB 的 地 址 。 仔 细 观 察 图 46-2 中 TEB 结 构 体 的 地 址 ( 7FFDF000 )， 发 现 它 与 FS 段 寄存 器 所 
指 的 段 内 存 的 基 址 是 一 样 的 。 也 就 是 说 ，TEB 与 FS 段 寄 存 器 有 着 某 种 关联 。 


46.2.2 FS RETA 


SDT 

其 实 ，FS 段 寄存 器 用 来 指示 当前 线程 的 TEB 结 构 体 。 

IA-32 系 统 中 进程 的 虚拟 内 存 大 小 为 4GB ， 因 而 需要 32 位 的 指针 才能 访问 整个 内 存 空 间 。 但 
是 FS 寄存 器 的 大 小 只 有 16 位 ,那么 它 如 何 表示 进程 内 存 空间 中 的 TEB 结 构 体 的 地 址 呢 ? 实际 上 ， 
FS 寄存 器 并 非 直接 指向 TEB 结 构 体 的 地 址 ， 它 持 有 SDT 的 索引 ， 而 该 索引 持 有 实际 TEB 地 址 。 

所 
SDT 位 于 内 核 内存 区 域 ， 其 地 址 存储 在 特殊 的 寄存 器 GDTR (Global Descriptor 
Table Resiger， 全 局 描述 符 表 寄 存 器 ) Po 


背 助 示意 图 描述 上 述 过 程 ， 如 图 46-3 所 示 。 
段 描述 符 表 


段 描 述 符 





图 46-3 SDT 
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由 于 段 寄 存 器 实际 存储 的 是 SDT 的 索引 ， 所 以 它 也 被 称 为 “ 段 选 择 符 ”( Segment Selector ). 
从 图 46-3 中 可 以 看 到 ，TEB 结 构 体 位 于 FS 段 选 择 符 所 指 的 段 内 存 的 起 始 地 址 (base address ) 处 。 

e FS:[0x18]=TEB 起 始 地 址 

如 果 掌 握 了 上 述 内 容 ， 那 么 就 很 容易 理解 下 面 公 式 的 含义 。 

FS:[0x18] = TEB.NtTib.Self = address of TIB = address of TEB = FS:0 = 7FFDF000 
*#F9:9 是 段 内 存 的 起 始 地 址 ，FS 寄 存 器 指向 (Indexing) 一 个 段 描 述 符 ， 而 该 描述 符 又 指向 段 内 存 的 起 始 地 址 。 

从 图 46-2 中 可 知 ，FS:[0x18] 与 [7FFDF018] (一 7FFDF000 ) 具有 相同 含义 。 由 代码 46-5 中 的 
_NT_TIB 结 构 体 的 定义 得 知 ， 结 构 体 的 最 后 一 个 Self 成 员 恰 好 位 于 从 TEB 结 构 体 偏 移 018 的 位 置 。 
Self 指 针 变 量 指向 NT_TIB 结 构 体 的 起 始 地 址 ， 也 就 是 TEB 的 起 始 地 址 。 

e FS:[0x30]=PEB 起 始 地址 

根据 代码 46-2 与 代码 46-3 ，FS:[0x30] 可 表示 为 如 下 等 式 : 


FS:[0x30] = TEB.ProcessEnvironmentBlock = address of PEB 


从 图 46-2 中 可 以 知道 ，FS:[0x30] 与 [7FFDF030] ( —7FFD3000 ) 具有 相同 含义 。 也 就 是 说 ， 
通过 TEB 的 ProcessEnvironment Block 成 员 可 以 获取 PEB 结 构 体 的 起 始 地 址 。PEB 结 构 体 多 用 于 反 
调试 ， 下 一 章 将 详细 讲解 。 

e FS:[0]=SEH 起 始 地 址 

此 外 还 要 了 解 一 下 FS:[0]。 

FS:[0] = TEB.NtTib.ExceptionList = address of SEH 

从 图 46-2 中 可 以 知道 ，FS:[0] 与 [7FFDF000] ( —^1DFF64 ) 具有 相同 含义 。 

SEH 是 Wiondows 操 作 系 统 中 的 结构 化 异常 处 理 机 制 ， 常 用 于 反 调试 技术 ， 详 细 内 容 请 参考 
第 48 章 。 


46.3 小 结 


本 章 我 们 学 习 了 FS:[0] 、FS:[0x18] 、FS:[0x30] 的 含义 ， 调 试 中 会 经 常见 到 。 只 要 理解 了 
“FS:[0x18] 指 向 TEB 结 构 体 的 起 始 地 址 ”， 就 能 轻松 掌握 它们 表示 的 含义 。 为 便于 说 明 ， 本 章 并 未 
做 复杂 讲解 ， 大 家 具备 了 一 定 的 水 平 与 实力 后 ， 我 们 会 另外 学 习 IA-32 内 存 模型 的 知识 。 刚 开始 
学 习 时 虽然 有 些 枯燥 乏味 , 但 还 是 要 先 认真 整理 这 些 相 关 概 念 , 随 着 各 位 对 IA-32 CPU 与 Windows 
OS 理解 的 逐渐 深入 ， 再 逐步 学 习 更 高 级 的 代码 逆向 分 析 技 术 。 


第 47 章 PEB 


本 音 将 学 习 有 关 PEB (Process Environment Block， 进 程 环境 块 ) 的 知识 。PEB 与 前 面 学 过 的 
TEB 都 属于 高 级 调试 的 基础 知识 ， 希 望 大 家 认真 学 习 ， 理 解 并 掌握 相关 概念 。 


47.1 PEB 


PEB 是 存放 进程 信息 的 结构 体 ， 尺寸 非 常 大 ， 其 大 部 分 内 容 都 已 被 文档 化 。 本 章 只 讲解 它 的 
几 个 重要 成 员 ， 后 面 的 调试 中 会 经 常 接触 。 


47.1.1 PEB 访问 方法 


先 了 解 访问 PEB 结 构 体 的 方法 。 在 前 面 TEB 结 构 体 的 学 习 中 我 们 已 经 知道 ，TEB.Process- 

EnvironmentBlock 成 员 就 是 PEB 结 构 体 的 地 址 。TEB 结 构 体 位 于 FS 段 选择 符 所 指 的 段 内 存 的 起 

台地 址 处 ， 且 ProcessEnvironmentBlock 成 员 位 于 距 TEB 结 构 体 Offset 30 的 位 置 。 所 以 有 如 下 等 
式 成 立 : 


FS:[30] = TEB.ProcessEnvironmentBlock = address of PEB 


用 如 下 汇编 代码 表示 上 述 等 式 ， 
方法 #1: 直接 获取 PEB 地 址 


MOV EAX, DWORD PTR FS:[30] ; FS[30] = address of PEB 
Ji. 先 获取 TEB 地 址 ， 再 通过 ProcessEnvironmentBlock 成 员 ( +30 偏 移 ) 获取 PEB 地 址 
MOV EAX, DWORD PTR FS:[18] ; FS[18] = address of TEB 


MOV EAX, DWORD PTR DS:[EAX«-30] ; DS[EAX+30] = address of PEB 
方法 检 是 方法 #1 的 展开 形式 ， 它 们 都 引用 了 TEB.ProcessEnvironmentBlock 成 员 的 值 。 
提示 
请 注意 : 下 面 示 例 中 出 现 的 地 址 会 随 用 户 环境 的 不 同 而 不 同 。 





接 下 来 使 用 OllyDbg 工 具 查 看 PEB 结 构 体 。 打 开 Notepad.exe 程 序 后 ， 在 EP 代码 处 输入 汇编 指 
4 (快捷 键 : Space 空 格 键 )， 如 图 47-1 所 示 (也 可 以 打开 其 他 任意 一 个 非 notepad.exe 的 程序 )。 











图 47-1 OllyDbg 的 汇编 指令 
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执行 上 面 输入 的 汇编 指令 ( Stepln(F7)zkStepOver(F8) )，EAX 寄 存 器 中 存 和 人 FS:[30] 的 值 ， 即 
PEB 结 构 体 的 地 址 ， 如 图 47-2 所 示 。 












EAX | j 
ECX 00800088 


EDX 88233689 notepad.«HoduleEntryPoint» 


EBX ?FFDF888 
ESP 8808F968 
EBP 88808F968 
ESI 6608808088 
EDI 880608858 






EIP 08023368B notepad.8823368B 


图 47-2 ”存储 在 EAX 寄存 器 中 的 PEB 地 址 
在 Dump 窗 口中 查看 该 PEB 的 地 址 ( 7FFDF000 )， 如 图 47-3 所 示 。 






Us 
88 


ZFFDF018 88 80 
FFDF 828 88 88 
?FFDF 838 88 48 77 
7FFDF 046 88 00 
2FFDF 858 88 FA 7F 
ZFFDF060 88 00 80 
7FFDF878 88 18 88 
7FFDF 688 88 00 88 
7FFDF 898 88 88 688 
?FFDF 888 88 80 88 
7FFDF 6B8| 8 88 88 88 
?FFDF 8C8 a8 88 
?FFDF 8D8 00 88 88 
?FFDF 8E8| 8 B8 88 68 
?7FFDF 8F 8 00 00 88 
7FFDF188 88 88 88 

图 47-3 PEB 

下 面 了 解 PEB 结 构 体 各 成 员 。 


47.1.2 PEB 结构 体 的 定义 


不 同 OS 下 PEB 结 构 体 成 员 略 有 不 同 , 许多 成 员 都 已 被 文档 化 。MSDN 中 关于 PEB 的 定义 如 下 : 


typedef struct _PEB ( 
BYTE 
BYTE 
BYTE 
PVOID 
PPEB LDR DATA 


PRTL USER PROCESS PARAMETERS 


BYTE 
PVOID 


PPS POST PROCESS INIT ROUTINE 


BYTE 
PVOID 
ULONG 

) PEB, *PPEB; 


Reserved1[2]; 
BeingDebugged; 
Reserved2[1]; 
Reserved3[2]; 
Ldr; 


Reserved5[52]; 


Reserved6[128]; 
Reserved7[1]; 
SessionId; 


ProcessParameters; 
Reserved4[104] ; 


PostProcessInitRoutine; 


背 助 WinDbg 调 试 器 可 以 详细 查看 PEB 结 构 体 成 员 。 
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47.1.8 PEB 结构 体 的 成 员 


Windows XP SP3 下 





代码 47-2 Windows XP SP3 下 的 PEB 结 构 体 成 员 
+000 InheritedAddressSpace : UChar 
+001 ReadImageFileExecOptions : UChar 


+002 BeingDebugged : UChar 

+003 SpareBool : UChar 

+004 Mutant : Ptr32 Void 

+008 ImageBaseAddress : Ptr32 Void 

+00c Ldr : Ptr32 _PEB LDR DATA 

+010 ProcessParameters : Ptr32 RTL USER PROCESS PARAMETERS 
+014 SubSystemData : Ptr32 Void 

+018 ProcessHeap : Ptr32 Void 

401c FastPebLock : Ptr32 RTL CRITICAL SECTION 


+020 FastPebLockRoutine : Ptr32 Void 
+024 FastPebUnlockRoutine : Ptr32 Void 
+028 EnvironmentUpdateCount : Uint4B 
+02c KernelCallbackTable : Ptr32 Void 


+030 SystemReserved : [1] Uint4B 

+034 AtlThunkSListPtr32 : Uint4B 

+038 FreeList : Ptr32 PEB FREE BLOCK 
*03c TlsExpansionCounter : Uint4B 

+040 TlsBitmap : Ptr32 Void 

+044 TlsBitmapBits : [2] Uint4B 


+04c ReadOnlySharedMemoryBase : Ptr32 Void 
+050 ReadOnlySharedMemoryHeap : Ptr32 Void 

+054 ReadOnlyStaticServerData : Ptr32 Ptr32 Void 

+058 AnsiCodePageData : Ptr32 Void R 
+05c OemCodePageData : Ptr32 Void 

+060 UnicodeCaseTableData : Ptr32 Void 

+064 NumberOfProcessors : Uint4B 

+068 NtGlobalFlag : Uint4B 

+070 CriticalSectionTimeout : LARGE INTEGER 

+078 HeapSegmentReserve : Uint4B 

+07c HeapSegmentCommit : Uint4B 

+080 HeapDeCommitTotalFreeThreshold : Uint4B 

+084 HeapDeCommitFreeBlockThreshold : Uint4B 


+088 NumberOfHeaps : Uint4B 
+08c MaximumNumberOfHeaps : Uint4B 
+090 ProcessHeaps t Ptr32 Ptr32 Void 


+094 GdiSharedHandleTable : Ptr32 Void 
+098 ProcessStarterHelper : Ptr32 Void 
-09c GdiDCAttributelist : Uint4B 


+0a0 LoaderLock : Ptr32 Void 
-0a4 0SMajorVersion : Uint4B 
-0a8 OSMinorVersion : Uint4B 
+Qac OSBuildNumber : Uint2B 
+0ae OSCSDVersion : Uint2B 
+0b0 OSPlatformId : Uint4B 
+0b4 ImageSubsystem : Uint4B 


+0b8 ImageSubsystemMajorVersion : Uint4B 
+0bc ImageSubsystemMinorVersion : Uint4B 
*0c0 ImageProcessAffinityMask : Uint4B 

+0c4 GdiHandleBuffer : [34] Uint4B 

*14c PostProcessInitRoutine : Ptr32 void 
+150 TlsExpansionBitmap : Ptr32 Void 

*154 TlsExpansionBitmapBits : [32] Uint4B 
*1d4 SessionId : Uint4B 
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*1d8 
*1e0 
*1e8 
*lec 
+1f0 
+1f8 
+1fc 
+200 
+204 
+208 





AppCompatFlags : _ULARGE INTEGER 
AppCompatFlagsUser :  ULARGE INTEGER 
pShimData : Ptr32 Void 
AppCompatInfo ; Ptr32 Void 
CSDVersion : Unicode String 
ActivationContextData : Ptr32 Void 


ProcessAssemblyStorageMap : Ptr32 Void 
SystemDefaultActivationContextData : Ptr32 Void 
SystemAssemblyStorageMap : Ptr32 Void 
MinimumStackCommit : Uint4B 


Windows 7 下 





+000 
+001 
+002 
+003 
+003 
+003 
+003 
+003 
+003 
+003 
+004 
+008 
+00c 
+010 
+014 
+018 
+01c 
+020 
+024 
+028 
+028 
+028 
+028 
+028 
+028 
+028 
+02c 
*02c 
+030 
+034 
+038 
+03c 
+040 
+044 
+04c 
+050 
+054 
+058 
*05c 
+060 
+064 
+068 
+070 
+078 
*07c 
+080 
+084 


Ine ptebunBaroesspacó : UChar 
ReadImageFileExecOptions : UChar 


BeingDebugged : UChar 
BitField : UChar 
ImageUsesLargePages : Pos 0, 1 Bit 


IsProtectedProcess : Pos 1, 1 Bit 
IsLegacyProcess : Pos 2, 1 Bit 
IsImageDynamicallyRelocated : Pos 3, 1 Bit 


SkipPatchingUser32Forwarders : Pos 4, 1 Bit 
SpareBits : Pos: 5, 3 Bits 

Mutant : Ptr32 Void 

ImageBaseAddress : Ptr32 Void 

Ldr : Ptr32 PEB LDR DATA 
ProcessParameters : Ptr32 RTL USER PROCESS PARAMETERS 
SubSystemData : Ptr32 Void 

ProcessHeap : Ptr32 Void 

FastPebLock : Ptr32 RTL CRITICAL SECTION 
AtlThunkSListPtr : Ptr32 Void 

IFEOKey : Ptr32 Void 
CrossProcessFlags : Uint4B 

ProcessInJob : Pos 0, 1 Bit 
ProcessInitializing : Pos 1, 1 Bit 


ProcessUsingVEH : Pos 2, 1 Bit 
ProcessUsingVCH : Pos 3, 1 Bit 
ProcessUsingFTH : Pos 4, 1 Bit 
ReservedBitsO ; Pos 5, 27 Bits 
KernelCallbackTable : Ptr32 Void 
UserSharedInfoPtr : Ptr32 Void 


SystemReserved : [1] Uint4B 
AtlThunkSListPtr32 : Uint4B 
ApiSetMap + Ptr32 Void 
TlsExpansionCounter : Uint4B 
TlisBitmap : Ptr32 Void 
TlsBitmapBits : [2] Uint4B 
ReadOnlySharedMemoryBase : Ptr32 Void 


HotpatchInformation : Ptr32 Void 
ReadOnlyStaticServerData : Ptr32 Ptr32 Void 
AnsiCodePageData : Ptr32 Void 
OemCodePageData : Ptr32 Void 
UnicodeCaseTableData : Ptr32 Void 
NumberOfProcessors : Uint4B 
NtGlobalFlag : Uint4B 
CriticalSectionTimeout : LARGE INTEGER 
HeapSegmentReserve : Uint4B 
HeapSegmentCommit : Uint4B 
HeapDeCommitTotalFreeThreshold : Uint4B 
HeapDeCommitFreeBlockThreshold : Uint4B 
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+088 NumberOfHeaps : Uint4B 
+08c MaximumNumberOfHeaps : Uint4B 
+090 ProcessHeaps : Ptr32 Ptr32 Void 


+094 GdiSharedHandleTable : Ptr32 Void 
+098 ProcessStarterHelper : Ptr32 Void 
+09c GdiDCAttributeList : Uint4B 


*0a0 LoaderLock : Ptr32 RTL CRITICAL SECTION 
+0a4 O0SMajorVersion : Uint4B 
+0a8 OSMinorVersion : Uint4B 
+Qac OSBuildNumber : Uint2B 
+0ae OSCSDVersion : Uint2B 
+0b0 OSPlatformId : Uint4B 
+0b4 ImageSubsystem : Uint4B 


+0b8 ImageSubsystemMajorVersion : Uint4B 
+9bc ImageSubsystemMinorVersion : Uint4B 
+0c0 ActiveProcessAffinityMask : Uint4B 
+0c4 GdiHandleBuffer : [34] Uint4B 

+14c PostProcessInitRoutine : Ptr32 void 
+150 TlsExpansionBitmap : Ptr32 Void 

+154 TlsExpansionBitmapBits : [32] Uint4B 


+1d4 SessionId : Uint4B 

+1d8 AppCompatFlags :  ULARGE INTEGER 
-1e0 AppCompatFlagsUser :  ULARGE INTEGER 
*1e8 pShimData : Ptr32 Void 

+lec AppCompatInfo : Ptr32 Void 

+1f0 CSDVersion : Unicode String 


+1f8 ActivationContextData : Ptr32  ACTIVATION CONTEXT DATA 

+1fc ProcessAssemblyStorageMap : Ptr32 ASSEMBLY STORAGE MAP 

+200 SystemDefaultActivationContextData : Ptr32  ACTIVATION CONTEXT DATA 
+204 SystemAssemblyStorageMap : Ptr32 ASSEMBLY STORAGE MAP 

+208 MinimumStackCommit : Uint4B 


*20c FlsCallback : Ptr32 FLS CALLBACK INFO 
+210 FlsListHead : LIST ENTRY 

+218 FlsBitmap : Ptr32 Void 

+21c FlsBitmapBits : [4] Uint4B 

+22c FlsHighIndex : Uint4B 


+230 WerRegistrationData : Ptr32 Void 
+234 WerShipAssertPtr : Ptr32 Void 


+238 pContextData : Ptr32 Void 
*23c plImageHeaderHash : Ptr32 Void 
+240 TracingFlags : Uint4B 


+240 HeapTracingEnabled : Pos 0, 1 Bit 
+240 CritSecTracingEnabled : Pos 1, 1 Bit 
+240 SpareTracingBits : Pos 2, 30 Bits 


比较 代码 47-2 与 代码 47-3 可 以 看 到 ，Windows 7 下 的 PEB 结 构 体 更 大 。 


47.2 PEB 的 重要 成 员 


PEB 结 构 体 非常 庞大 , 且 结 构 复 杂 , 我 们 


重要 的 P| 成 员 
+002 BeingDebugged 

















: UChar 
4008 ImageBaseAddress : Ptr32 Void 
+00c Ldr : Ptr32 _PEB_LDR_DATA 
+018 ProcessHeap : Ptr32 Void 


+068 NtGlobalFlag : Uint4B 


只 简单 讲解 其 中 几 个 与 代码 逆向 分 析 相 关 的 重要 成 员 。 
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47.2.1 PEB.BeingDebugged 


Kernel32.dll 中 有 个 名 为 Kernel32!IsDebuggerPresent() 的 API， 但 普通 的 应 用 程序 开发 中 并 不 
常用 。 


BOOL WINAPI IsDebuggerPresent(void); 出 处 MSDN 

顾名思义 ， 该 API 函 数 用 于 判断 当前 进程 是 否 处 于 调试 状态 ， 并 返回 判断 结果 。 该 API 通 过 
检测 PEB.BeingDebugged 成 员 来 确定 是 否 正在 调试 进程 (是 ， 则 返回 1; 否 ， 则 返回 0 )。 图 47-4 中 
显示 IsDebuggerPresent() API 的 代码 。 










r5351F95 
Bl 7S3S1F98 
B 75351F9C 


MOU EAX, DWORD PTR DS: [ERX+301 
Ho” ERX,BYTE PTR DS: [EAX+2] 


图 47-4 IsDebuggerPresent() API 
所 二 
Windows 7 中 ,IsDebuggerPresent() API 是 在 Kernelbase.dll 中 实现 的 ,而 在 Windows 
XP 及 以 前 版 本 的 操作 系统 中 ， 它 是 在 kernel32.dll 中 实现 的 。 





在 图 47-4 中 先 获 取 FS:[18] 的 TEB 地 址 ， 然 后 通过 DS:[TEB+30] 处 的 TEB.Process- 
EnvironmentBlock 成 员 访 问 PEB 结 构 体 。 这 与 直接 使 用 FS:[30] 访 问 PEB 结 构 体 是 一 样 的 ( 如 上 所 
述 ， 原 则 上 要 先 获取 TEB 结 构 体 )。 我 的 电脑 环境 中 ，PEB 结 构 体 的 地 址 为 7FFDF000， 所 以 
PEB.BeingDebugged 成 员 的 地 址 为 7FFDF002， 其 值 为 1 (TRUE )， 如 图 47-5 所 示 ， 表 示 当 前 进程 
处 于 调试 状态 。 





ZFFDF888 88 88 68 FF FF FF FF àe 
ZFFDF018 38 11 88 88 GG 88 68 88 68 35 88 88 73 31 77,885...5 siw 


ZFFDF020 88 OO 08 OO OO OO 88 00 01 08 OG 88 28 Fő 99 75|........ £.. ?u 
ZFFDF030 88 808 68 88 68 88 680 98 88 88 48 77 880 00 68 88|.......... Hu.... 
7TFFDF858]68 72 31 77 FF FF FF 88 86 00 00 88 00 08 6F 7F| riujüÜ....... on 


图 47-5 PEB.BeingDebugged 成 员 


该 值 在 代码 逆向 分 析 领 域 主要 用 于 反 调 试 技术 。 检测 该 值 , 若 进 程 处 于 调试 中 , 则 终止 进程 。 
如 各 位 所 见 , 这 是 一 种 非常 简单 的 基础 反 调试 技术 , 关于 反 调 试 技术 的 更 多 内 容 将 在 第 50 章 详细 
讲解 。 


47.2.2 PEB.ImageBaseAddress 


PEB.ImageBaseAddress 成 员 用 来 表示 进程 的 ImageBase， 如 图 47-6 所 示 。 





7FFDFO80|00 00 81 68 FF FF FF FF 00 00 23 88 80 78 31 77 .. JN 
7FFDF010/38 11 35 00 00 00 00 08 08 00 35 00 80 73 31 77|8N5. 5 siw 


7FFDF628|88 88 OA 08 08 88 08 08 01 00 08 08 28 Fő 99 75|........ Bs ?u 
ZFFDF030 80 00 80 00 80 68 00 68 00 88 48 77 80 B8 68 88|.......... Hu.... 
7TFFDF848|68 72 31 77 FF FF FF 88 80 08 08 00 00 88 6F 7F| "riujiU....... om 


图 47-6 ”PEB.ImageBaseAddress 成 员 
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GetModuleHandle() API 用 来 获取 ImageBase。 


HMODULE WINAPI GetModuleHandle( 


. in opt LPCTSTR lpModuleName 
); 出 处 : MSDN 


向 jpModuleName 参 数 赋 值 为 NULL ， 调 用 GetModuleHandle0 函数 将 返回 进程 被 加 载 的 
ImageBase。 图 47-7 显 示 了 GetModuleHandleO API 的 部 分 代码 。 


DOLL Uc VLUU MEN 





图 47-7 GetModuleHandleA() 


向 lIpModuleName 参 数 赋 人 NULL 值 后 ， 调 用 GetModuleHandle() 函 数 时 将 执行 上 图 中 的 代码 。 
从 中 可 以 看 到 ，PEB.ImageBaseAddress 成 员 的 值 被 设置 到 EAX 寄存 器 〈 函数 的 返回 值 )。 


47.2.3 PEB.Ldr 
PEB.Ldr 成 员 是 指向 _ PEB LDR_DATA 结 构 体 的 指针 。 借 助 WinDbg 调 试 器 查看 PEB LDR - 
DATA 结 构 体 成 员 ， 如 代码 47-5 所 示 。 


代码 47-5 PEBL AT 
+000 Length : Uint4B 





+004 Initialized : UChar 
+008 SsHandle : Ptr32 Void 


-00c InLoadOrderModulelist : LIST ENTRY 

+014 InMemoryOrderModuleList : LIST ENTRY 

+01c InInitializationOrderModulelist : LIST ENTRY 
+024 EntryInProgress : Ptr32 Void 

+028 ShutdownInProgress : UChar 

+02c ShutdownThreadId : Ptr32 Void 


当 模块 (DLL ) 加 载 到 进程 后 ， 通 过 PEB.Ldr 成 员 可 以 直接 获取 该 模块 的 加 载 基地 址 ， 所 以 
PEB.Ldr 是 非常 重要 的 成 员 。 PEB LDR_DATA 结 构 体 成 员 中 有 3 个 _LIST_ENTRY 类 型 的 成 员 
( InLoadOrderModuleList, InMemoryOrderModuleList, InlnitializationOrderModuleList ), _LIST_ 
ENTRY 结 构 体 的 定义 如 代码 47-6 所 示 。 








代码 47-6 _LIST_ ENTRY 结构 体 — 

typedef. struct _LIST ENTRY í 
struct LIST ENTRY *Flink; 
struct LIST ENTRY *Blink; 

) LIST ENTRY, *PLIST ENTRY; 出 处 : MSDN 


从 上 述 结 构 体 的 定义 可 以 看 到 ，_LIST_ENTRY 结 构 体 提供 了 双向 链表 机 制 。 那 么 链表 中 保 
存 着 哪些 信息 呢 ? 是 LDR DATA TABLE ENTRY 结构 体 的 信息 。 该 结构 体 的 定义 如 代码 47-7 
所 示 。 


代码 47-7 LDR DATA TABLE ENTRY 结 构 体 
typedef struct LDR DATA TABLE ENTRY { 
PVOID Reserved1[2]; 
LIST ENTRY InMemoryOrderLinks; 
PVOID Reserved2[2]; 
PVOID DllBase; 
PVOID EntryPoint; 
PVOID Reserved3; 
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Unicode STRING FullDllName; 
BYTE Reserved4[8]; 
PVOID Reserved5[3]; 
union í 
ULONG CheckSum; 
PVOID Reserved6; 


p TimeDateStamp; 
) LDR DATA TABLE ENTRY, *PLDR DATA TABLE ENTRY; 出 处 MSDN 
每 个 加 载 到 进程 中 的 DLL 模块 都 有 与 之 对 应 的 LDR_DATA_TABLE_ENTRY 结 构 体 , 这 些 结 
构 体 相互 链接 ， 最 终 形成 _LIST_ENTRY 双 向 链表 (参考 代码 47-6 )。 需 要 注意 的 是 ， 
.PEB LDR_DATA 结 构 体 中 存在 3 种 链表 。 也 就 是 说 ， 存 在 多 个 LDR_DATA_TABLE_ ENTRY 结 
构 体 ， 并 且 有 3 种 链接 方法 可 以 将 它们 链接 起 来 。 





47.2.4 PEB.ProcessHeap & PEB.NtGlobalFlag 


PEB.ProcessHeap 与 PEB.NtGlobalFlag 成 员 ( 像 PEB.BeingDebugged 成 员 一 样 ) 应 用 于 反 调 试 
技术 。 若 进程 处 于 调试 状态 ， 则 ProcessHeap 与 NtGlobalFlag 成 员 就 持 有 特定 值 。 由 于 它们 具有 这 
一 个 特征 ， 所 以 常常 应 用 于 反 调 试 技 术 (详解 请 参考 第 50 章 )。 


47.3 ”小结 


我 们 学 习 了 有 关 TEB 、PEB 的 知识 ， 后 面 的 调试 中 会 经 常 遇 到 。 即 使 各 位 现在 还 不 能 完全 理 
解 也 不 要 着 急 ， 通 过 后 面 的 调试 练习 不 断 重 复学 习 ， 最 终 都 会 理解 的 。 


第 48 章 SEH 


SEH 是 Windows 操 作 系 统 默 认 的 异常 处 理 机 制 。 首 向 分 析 中 ，SEH 除 了 基本 的 异常 处 理 功能 
外 ， 还 大 量 应 用 于 反 调 试 程序 。 本 章 将 学 习 SEH 相 关 知 识 。 


48.1 SEH 


基本 说 明 


SEH 是 Windows 操 作 系 统 提供 的 异常 处 理 机 制 , 在 程序 源 代码 中 使 用 try、 _except、 _finally 
关键 字 来 具体 实现 。 本 章 我 们 将 从 代码 逆向 分 析 角 度 来 介绍 SEH， 并 通过 练习 示例 详细 了 解 SEH 
的 基本 工作 原理 及 其 在 反 调试 中 的 具体 使 用 方法 。 

Ja pa ——————— e I 
SEH 与 C++ 中 的 try, catch 出 常 处 理 具 有 不 同 结构 , 请 各 位 不 要 混淆 。 从 时 间 上 看 ， 
与 C++ 的 try, catch 异常 处 理 相 比 , 微软 先 创建 出 了 SEH 机 制 , 然后 才 将 它 搭载 到 VCH 
中 。 所 以 SEH 是 一 种 从 属于 VC++ 开 发 工具 和 Windows 操作 系统 的 异常 处 理 机 制 。 





48.2. SEH 练习 示例 #1 


先 简单 介绍 练习 示例 程序 seh.exe ， 该 程序 故意 触发 了 内 存 非 法 访问 (Memory Access 
Violation) 异常 ， 然 后 通过 SEH 机 制 来 处 理 该 异常 。 并 且 使 用 PEB 信 息 向 程序 添加 简单 的 反 调试 
代码 ， 使 程序 在 正常 运行 与 调试 运行 时 表现 出 不 同 的 行为 动作 。 

提示 amI 
示例 程序 seh.exe 并 没有 相应 的 源 代 码 ， 其 编写 过 程 如 下 : 先 使 用 VC++ 编 写 一 个 
空 的 main0) 函 数 ， 然 后 选择 合适 的 选项 编译 ， 生 成 一 个 不 执行 任何 动作 的 PE 文件。 使 用 
OllyDbg 打开 该 文件 ， 借 助 调试 器 的 汇编 功能 添加 汇编 代码 ， 最 终 保 存 为 seh.exe 文 件 。 


提示 
本 示例 程序 在 Windows XP&7 (32 位 ) 中 正常 运行 





48.2.1 正常 运行 
seh.exe 程 序 非常 简单 ， 双 击 运行 ， 弹 出 一 个 消息 框 ， 显 示 “Hello:)” 字 符 串 ， 如 图 48-1 所 示 。 
表面 上 程序 正常 运行 E TRE RETAK, 11h TA SEH 机 制 进行 
了 处 理 ， 所 以 程序 运行 正 
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48.2.2 ”调试 运行 
使 用 OllyDbg 调 试 器 打开 seh.exe 示 例 程序 ， 如 图 48-2 所 示 。 







680401219 
8080124E 











JMP 004010C7 77181162 kerne132.Base 





























| 9640223 | MOU EDI,EDI : 29999899 
j| 9805801225 | |PUSH EBP ç 99501219 seh.CHoduleEn 
]eonsi226 |. 8BEC | HOU EBP ,ESP ç 7FFDEB0D 
|08861228 ||. 81EC 28030008 |SUB ESP ,328 8e19rFBC 
|s54s122t ||. A3 58AD4000 MOU DWORD PTR DS:[49AD58],EAXN 0012FF95 
(09501233 |. 890D SnñDn000 |MOU DWORD PTR DS:[n00D55],ECX 68989998 
95451239 |. 8945 S8ñDa000 | MOU DWORD PTR DS:[n00D50],EDX 00008088 





j| 8858123F B91D A&CADA48880 | MOU DWORD PTR DS:[40AD4C] ,EBX 
|88491245 || . 8935 488DA080 |MOU DWORD PTR DS:[A08D58],ESI 
|69401248 ||. 893D 44AD4OGO MOU DWORD PTR DS:[A8RDAA4],EDI 

80581251 | 66:8C15 70ñDN0(MOU WORD PTR DS:[588070],55 






80191219 seh.«HoduleEn 


ES 90023 32bit B(FFFFF 
tS 001B 32bit B(FFFFF 
SS 88023 32bit B(FFFFF 
DS 8023 32bit B(FFFFF 

32bit 7FFDFUS 

















19 BF bh 
08 BG OG 6C 86 50 8A 
68 86 SG NA 85 56 GO 
60 09 686 4C 85 56 60 
||06]49n048| 12 00 00 98 28 85 #8 GA 13 GG NG OG FC 8*4 hG 86 










j 8048n020| 09 G0 80 08 40 86 4G GA GA 












图 48-2 ”使 用 OllyDbg 打 开 seh.exe 


发 生 异 常 导致 调试 暂停 
在 OllyDbg 中 打开 seh.exe 程 序 后 按 F9 键 运行 ,发生 非 法 访问 异常 后 暂停 调试 ， 如 图 48-3 所 示 。 


























09501816 
601 01 0 


61619 






ADI 

?72865F* ntd1l.KiFasts 
EBX 7FFDF 000 

ESP 8ü812FF3U 







j| 06501028 
j| 06401021 
















|aon01022 | . 98 EBP 0812FF88 
|| 68401623 | . 6A 88 PUSH 8 ESI BénGUDG 
|| sen61625 | 68 84924000 — | PUSH 80409284 EDI 08090008 
|enuo1028 | . 68 99924000 PUSH 88109298 
ü0h0102F | . 6A OG PUSH 8 EIP 80h81819 ceh.08501019 
001631 | . FF15 E8805000 |CALL DWORD PTR DS:[<&USER32.HessaqeBoxñ>] ES 8823 32bit S(FFFFF 
|| 06481837 | .. EB 14 |JMP SHORT 09491894D z CS 801B 32bit 9(FFFFF 








SS 8823 32bit M(FFFFF 
DS 0023 32bit @(FFEFF 

32bit 7FFDEOB 
8812F 






| 





图 48-3 ”调试 中 发 生 非 法 访问 异常 
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401019 地 址 处 添加 的 MOV DWORD PTR DS:[EAX],1 指 令 用 来 触发 异常 ， 当 前 EAX 寄存 器 的 
值 为 0, 所 以 该 指令 的 实际 含义 是 向 内 存 地 址 0 处 写 和 人 值 1。 但 试图 向 未 分 配 的 内 存 地 址 0 处 写 人 某 
个 值 时 ， 就 会 触发 内 存 非 法 访问 异常 。 

MR anan MM 
内 存 地 址 0 虽然 属于 seh.exe 进程 的 用 户 内 存 区 域 ， 但 由 于 是 未 分 配 的 空间 ， 所 以 
无 法 随意 访问 。 查 看 OllyDbg 的 内 存 映射 (View-Memory 菜单 )， 可 以 看 到 进程 中 内 存 
地 址 0 被 标识 为 未 分 配 区 域 ( 参考 图 48-4 )。 





























Map 2009041004 RU 
. 0012D0090 00001 OBI Priu 00021194 RW Guarded 
D 6812E669| 0090002000 stack of main thread |Priv 8080021104 RWU Guarded 
00130000 0000904000 Map 00041002 R 
00140000| 00001000 ap 0080410902 R 
| 8081589000 _ 00001000 Priv 00021004 RW 
naiésnaa! 0090670080 Map 0809041002 
801D0000 0000109000 Priv 9090021004 Ru! 
BalEaaaa aaaasaaa i Priv 00021004 RW 
, 8001F009090 0000109009 Priv 00021004 ul 
aa2ionaa 0003000 Priv 00021004 RW 
, aanesaana| DBBB66866 Priv 00021004 RU 
. 00400000| anaaiaao| seh PE header Imag 01001002 R 
, 00401000| D6687888| seh „test code Imag 01001002 R 
, 00408000 _ aaaaeaaa| seh .rdata. |code, imports Imag 01001002 R 
| am4anaaa| B00626600| seh .data code,data Imag 01001002 R 
| 8840C000 0000901000 | seh ].rsrc code,resources Imag 01001002 R 
, 00410000; 04000 Map 00041002 R 
| B04D0000 1 0003000 Map 0800841002 R 
664EDB6661 0010109000 Map 00041002 R 
|| eacraaaa 08660688 i Map 0008041002 R 
图 48-4 ”内 存 映射 





如 上 所 述 ， 访 问 未 分 配 的 内 存 区 域 时 ， 就 会 触发 非法 访问 异常 。 

那么 ,为 什么 被 调试 进程 发 生 异 常 时 会 暂停 呢 ? 这 只 是 意味 着 运行 的 时 候 很 正常 , 下 面 仔细 
分 析 原 因 。 

发 生 异 常 时 调试 器 运行 

在 图 48-3 中 查看 OllyDbg 的 状态 窗口 ， 可 以 看 到 如 下 警告 语句 


“Access violation when writing to [00000000] - use Shift+F7/F8/F9 to pass exception to program” 
- &WA0223 SAR, HEHA RMA, Aik Shift+F7/F8/F92244. 


其 中 ,“ 将 异常 抛 给 程序 ”是 什么 意思 呢 ? 暂 且 放 下 诸多 疑问 ， 根 据 调试 器 给 出 的 提示 按 
Shiftt+F9 键 继续 运行 程序 。 调 试 运行 开 始 后 弹出 消息 对 话 框 ， 如 图 48-5 所 示 。 





可 和 Y 
[Re z X) 





Debugger detected :( 


x 
| 











T d 


K48-5 ”调试 器 运行 时 弹出 的 消息 框 
从 图 48-5 中 弹出 的 消息 框 可 以 看 到 ， 它 与 程序 正常 运行 时 弹出 的 对 话 框 是 不 同 的 ,消息 内 容 


为 “检测 到 调试 器 ”( 我 向 程序 中 插入 了 一 段 简单 的 调试 器 检测 代码 ), 以 上 练习 示例 的 目的 就 在 
于 ， 观 察 程序 在 正常 运行 与 调试 运行 时 表现 出 的 不 同行 为 。 其 实 ， 程 序 在 这 2 种 形式 运行 下 使 用 
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的 异常 处 理 方式 是 不 同 的 ( 下面 会 讲解 )。 以 上 就 是 逆向 分 析 中 常用 的 “利用 SEH 机 制 的 反 调 试 


接 下 来 详细 讲解 OS 的 异常 与 异常 处 理 机 制 , 还 要 仔细 了 解 SEH 具 体 的 实现 方法 , 以 及 在 调试 


器 中 处 理 异 常 的 方法 。 

提示 一 
调试 运行 练习 示例 时 ， 有 时 调试 器 不 会 像 图 48-3 那样 暂停 ， 而 会 一 直 正常 运行 。 
这 是 因为 设置 了 OlyDbg 的 选项 ， 或 者 安装 了 某 个 特定 插件 。 遇 到 这 种 情况 请 参考 后 
面 “设置 OllyDbg 选项 ”的 内 容 。 





48.3 OS 的 异常 处 理 方 法 


通过 前 面 的 学 习 我 们 了 解 到 ， 同 一 程序 ( seh.exe ) 在 正常 运行 与 调试 运行 时 表现 出 的 行为 动 
作 是 不 同 的 。 这 是 由 Windows 0S 异 常 处 理 方法 的 不 同 造 成 的 。 


48.3.1 正常 运行 时 的 异常 处 理 方法 


进程 运行 过 程 中 告发 生 异 常 ，OS 会 委托 进程 处 理 。 若 进程 代码 中 存在 具体 的 异常 处 理 ( 如 
SEH 异 常 处 理 器 ) 代码 ， 则 能 顺利 处 理 相 关 异 常 ， 程 序 继续 运行 。 但 如 果 进 程 内 部 没有 具体 实现 
SEH, 那么 相关 异常 就 无 法 处 理 , OS 就 会 启动 默认 的 异常 处 理 机 制 , 终止 进程 运行 ( 参考 图 48-6 )。 













ig | exception.exe 已 停止 工作 





Windows 可 以 联机 检查 该 问题 的 解决 方 安 。 


> 关闭 程序 



















|© szama 


图 48-6 Windows 7 的 默认 异常 处 理 机 制 





48.3.2 ”调试 运行 时 的 异常 处 理 方法 

调试 运行 中 发 生 异 常 时 ， 处 理 方法 与 上 面 有 些 不 同 。 若 被 调试 进程 内 部 发 生 异 常 ，OS 会 首 
先 把 异常 抛 给 调试 进程 处 理 。 调 试 器 几乎 拥有 被 调试 者 的 所 有 权限 ， 它 不 仅 可 以 运行 、 终 止 被 调 
试 者 , 还 拥有 被 调试 进程 的 虚拟 内 存 、 寄 存 器 的 读 写 权限 。 需要 特别 指出 的 是 , 被 调试 者 内 部 发 
生 的 所 有 异常 (错误 ) 都 由 调试 器 处 理 。 所 以 调试 过 程 中 发 生 的 所 有 异常 (错误 ) 都 要 先 交 由 调 
试 器 管理 ( 被 调试 者 的 SEH 依 据 优先 顺序 推 给 调试 器 )。 像 这 样 ， 被 调试 者 发 生 异常 时 ， 调 试 器 
就 会 暂停 运行 ,必须 采取 某 种 措施 来 处 理 异 常 ， 完 成 后 继续 调试 。 遇 到 异常 时 经 常 采用 的 几 种 处 
理 方法 如 下 所 示 。 

(1) 直接 修改 异常 : 代码、 寄存 器 、 内 存 

被 调试 者 发 生 异 常 时 , 调试 器 会 在 发 生 异 常 的 代码 处 暂停 ,此 时 可 以 通过 调试 器 直接 修改 有 


问题 的 代码 、 内 存 、 寄 存 器 等 ， 排 除 异 常 后， 


提示 


遇 到 图 48-3 中 的 异常 时 ， 采 用 直接 修改 异常 的 方法 进行 如 下 处 理 。 


调试 器 继续 运行 程序 。 


48.4 异常 485 


e 由 于 EAX 寄存 器 所 指 的 地 址 值 错误 ， 所 以 只 要 把 EAX 寄存 器 的 值 修改 为 有 效 


的 内 存 地 址 即 可 。 


e 由 于 401019 地 址 处 的 代码 触发 了 异常 ， 使 用 OllyDbg 的 汇编 (Space ) 或 编辑 


(CtrlHE ) 功能 将 相关 代码 修改 为 NOP 指令 ， 运 行 后 也 可 排除 异常 。 


e 也 可 以 使 用 OllyDbg 的 New Origin here(Ctrl+Gray *) 功 能 改变 程序 的 运行 路 径 


( 因为 无 法 直接 修改 EIP 寄存 器 ， 所 以 需要 借助 该 功能 修改 )。 


请 不 要 随意 使 用 这 些 修 改 方法 ， 必 须 在 明确 知道 程序 错误 的 情形 下 才能 使 用 。 


(2) 将 异常 抛 给 被 调试 者 处 理 


如 果 被 调试 者 内 部 存在 SEH ( 异常 处 理 函数 ) 能 够 处 理 异 常 ,， 那么 异常 通知 会 发 送 给 被 调试 
者 ,由 被 调试 者 自行 处 理 。 这 与 程序 正常 运行 时 的 异常 处 理 方式 是 一 样 的 。 前 面 的 seh.exe 练 习 示 
例 中 , 使 用 OllyDbg 中 的 Shift+F7/F8/F9 命 令 ( StepInto/StepOver/Run ) 可 以 直接 将 当前 异常 抛 还 给 


(3) OS 默认 的 异常 处 理 机 制 


若 调 试 器 与 被 调试 者 都 无 法 处 理 (或 故意 不 处 理 ) 当前 发 生 的 异常 ， 则 OS 的 默认 异常 处 理 
机 制 会 处 理 它 ， 终止 被 调试 进程 ， 同 时 结束 调试 。 
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学 习 异 常 处 理 前 ， 有 必要 了 解 操作 系统 中 定义 的 异常 。 


代码 48-1 Windows OS 中 的 异常 
EXCEPTION DATATYPE MISALIGNMENT 
EXCEPTION BREAKPOINT 

EXCEPTION SINGLE STEP 
EXCEPTION ACCESS VIOLATION 
EXCEPTION IN PAGE ERROR 
EXCEPTION ILLEGAL INSTRUCTION 
EXCEPTION NONCONTINUABLE EXCEPTION 
EXCEPTION INVALID DISPOSITION 
EXCEPTION ARRAY BOUNDS EXCEEDED 
EXCEPTION FLT DENORMAL OPERAND 
EXCEPTION FLT DIVIDE BY ZERO 
EXCEPTION FLT INEXACT RESULT 
EXCEPTION FLT INVALID OPERATION 
EXCEPTION FLT OVERFLOW 


EXCEPTION FLT STACK CHECK 


EXCEPTION FLT UNDERFLOW 
EXCEPTION INT DIVIDE BY ZERO 
EXCEPTION INT OVERFLOW 
EXCEPTION PRIV INSTRUCTION 


EXCEPTION STACK OVERFLOW 


(0x80000002) 
(0x80000003) 
(0x80000004) 
(6xC0000005 ) 
(0xC0000006 ) 
(0xC000001D) 
(0xC0000025 ) 
(0xC0000026) 
(0xC000008C) 
(0xC000008D ) 
(0xC000008E) 
(0xC000008F) 
(0xC0000090) 
(0xC0000091) 
(0xC0000092) 
(0xC0000093) 
(0xC0000094) 
(0xC0000095 ) 
(0xC0000096) 
(0xC00000FD) 


出 处 ，SDK 的 winnt.h 


以 上 异常 列表 中 ， 我 们 调试 时 会 经 常 接触 5 种 最 具 代 表 性 的 异常 ， 接 下 来 分 别 介绍 ( 其 他 异 


常 请 参考 MSDN )。 
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48.4.4 EXCEPTION_ACCESS_VIOLATION(C0000005) 


试图 访问 不 存在 或 不 具 访 问 权 限 的 内 存 区 域 时 ， 就 会 发 生 EXCEPTION ACCESS. 
VIOLATION ( 非法 访问 异常 ， 该 异常 最 常见 ) 


MOV DWORD PTR DS:[0], 1 
> 内 存 地 址 9 处 是 尚未 分 配 的 区 域 。 


ADD DWORD PTR DS:[401000], 1 
> .text 节 区 的 起 始 地 址 4010090 仅 具有 “ 读 ” 权 限 (无 “ 写 ” 权 限 )。 


XOR DWORD PTR DS:[80000000], 1234 
> 内 存 地 址 899860998 属 于 内 核 区 域 ， 用 户 模式 下 无 法 访问 。 


48.4.2 EXCEPTION BREAKPOINT(80000003) 


在 运行 代码 中 设置 断 点 后 ，CPU 尝 试 执行 该 地 址 处 的 指令 时 ， 将 发 生 EXCEPTION_ 
BREAKPOINT 异 常 。 调 试 器 就 是 利用 该 异常 实现 断 点 功能 的 。 下 面 仔细 了 解 实现 方法 。 

INT3 

设置 断 点 命令 对 应 的 汇编 指令 为 INT3， 对 应 的 机 器 指令 ( IA-32 指 令 ) 为 0xCC。CPU 运 行 代 
码 的 过 程 中 若 遇 到 汇编 指令 INT3, 则 会 触发 EXCEPTION_BREAKPOINT 异 常 。 在 OllyDbg 调 试 器 
某 个 地 址 处 设置 好 断 点 后 ， 确 认 该 地 址 处 的 指令 是 否 真 会 变 为 INT3 ( 0xCC )。 在 OllyDbg 中 再 次 
打开 seh.exe 文 件 ， 转 到 401000 地 址 处 〈 Ctrl+G )， 按 F2 键 设置 好 断 点 ， 如 图 48-7 所 示 。 





ua o B 
| 80h01 ose 
895018013 | . 
|es501014 | . 98 ioe 
89591815 | . 98 NOP 
NOP 










80401850- 8061858 nery address} 
Local call from 885811 















BOI64# FF 35 88 88 HA 00 6^ 89 25 86 heen. dijs. --07. 
B 906 90 98 33 C6 C7 80 01 DO 68 88 98|... 9].£..? 
00501029 98 98 98 óA 99 68 84 92 46 00 68 98 92 48 BƏ A az 
|| 88581038|80 FF 15 E8 80 46 68 EB) 14 6f 80 68,84 92 h8 OA -jas?a. ?j. 


图 48-7 在 401000 地 址 处 设置 断 点 


从 图 48-7 中 可 以 看 到 ， 虽 然 401000 地 址 处 设置 了 断 点 ， 但 是 该 地 址 处 的 指令 并 未 变 为 INT3 
(汇编 指令 )， 也 未 由 “68” 变 为 “CC”( 机 器 指令 )。 为 什么 跟前 面 讲 的 不 一 样 呢 ? 其 实 ， 这 是 
OllyDbg 责 的 一 个 小 花招 。 由 于 在 OllyDbg 中 按 F2 键 设置 的 断 点 是 用 户 用 来 调试 的 临时 断 点 ( User 
Temporary Break Point )， 所 以 不 需要 在 调试 画面 中 显示 。 在 代码 与 内 存 中 将 用 户 设置 的 临时 断 点 
全 部 显示 出 来 ， 反 而 会 大 大 降低 代码 的 可 读 性 ， 给 代码 调试 带 来 不 便 。 换 言 之 ， 实 际 进程 内 存 中 
401000 地 址 处 的 指令 “68” 已 经 被 更 改 为 “CC”， 但 是 为 了 调试 方便 ，OllyDbg 并 未 将 其 显示 出 
来 ,将 进程 内 存 转 储 之 后 可 以 看 到 更 改 后 的 CC 指令 , 先 使 用 PE Tools 工 具 转 储 进程 内 存 , 如 图 48-8 
所 示 。 

以 seh_dump.exe 文 件 名 保存 转 储 文件 后 , 使 用 Hex Editor 工 具 打 开 , 查看 图 48-7 中 位 于 401000 
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地 址 处 (文件 偏 移 地 址 为 1000 ) 的 指令 ， 如 图 48-9 所 示 。 














| | Z @ % z+ i | të | @ @ @ 
Path 
和 [System Idle Process] 





















Explorer... 





图 48-8 使 用 PE Tools 工 具 转 储 seh.exe 进 程 内 存 
Ep —— a= a. 
seh dump.exe 的 ImageBase 为 400000, 所 以 VA 401000 对 应 RVA 1000 ( RVA=VA— 


ImageBase )。 由 于 seh dump.exe 是 直接 由 seh.exe 进程 内 存 转 储 而 来 的 ， 所 以 RVA 就 
是 RAW (文件 偏 移 量 )。 
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图 48-9 ”使 用 HxD 查 看 文件 偏 移 1000 中 的 内 容 


查看 文件 偏 移 1000 处 ， 可 以 看 到 机 器 指令 CC (INT3 指 令 - BreakPoint )。 也 就 是 说 ， 图 48-7 
中 进程 内 存 的 实际 值 为 0xCC， 但 是 OllyDbg 调 试 器 在 显示 时 先 将 其 更 改 为 原来 的 操作 码 “68”， 
然后 再 显示 出 来 。 

以 上 就 是 断 点 内 部 工作 原理 ， 灵 活 运用 这 一 原理 能 为 程序 调试 带 来 很 大 便利 。 比 如 ， 使 用 
Hex Editor 工 具 打 开 PE 文件 ， 修 改 EP 地 址 对 应 的 文件 偏 移 处 的 第 一 个 字 节 为 CC， 然 后 运行 该 PE 
文件 就 会 发 生 EXCEPTION_BREAKPOINT 异 常 ， 经 过 OS 的 默认 异常 处 理 后 终止 运行 。 若 在 系统 
注册 表 中 将 默认 调试 器 设置 为 OllyDbg， 那 么 发 生 以 上 异常 时 OS 会 自动 运行 OllyDbg 调 试 器 ， 附 
加 发 生 异 常 的 进程 (第 八 部 分 中 将 详细 讲解 利用 这 一 原理 调试 的 方法 )。 
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48.4.3 EXCEPTION_ILLEGAL_INSTRUCTION(C000001D) 


CPUB AEKA OTSI ARIES RAE. eh “OFFF” 4&4 fEx86 CPUPREX, CPU;:: $J 


该 指令 将 引发 EXCEPTION_ILLEGAL INSTRUCTION 异 常 。 


下 面 使 用 OllyDbg 调 试 器 进行 简单 测试 。 首先 使 用 OllyDbg 调 试 器 打开 seh.exe, 在 EP 代码 地 址 
处 直接 修改 指令 为 OFFF， 然 后 运行 程序 将 引发 EXCEPTION ILLEGAL INSTRUCTION 异 常 ， 


试 器 暂停 运行 ， 如 岁 48-10 所 示 。 
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图 48-10 EXCEPTION ILLEGAL INSTRUCTIONS? 


48.4.4 EXCEPTION INT DIVIDE BY ZERO(CO0000094) 


INTEGER (整数 ) REBAR, ADENO 即 被 0 除 )， 则 引发 EXCEPTION_INT_ 
DIVIDE_BY_ZERO 异 常 。 编 写 应 用 程序 时 偶尔 会 发 生 该 异常 ， 分 母 为 变量 时 ， 该 变量 在 某 个 瞬 
间 变 为 0, 执 行 除法 运算 就 会 引发 EXCEPTION_INT_DIVIDE_BY_ZERO 异 常 。 下 面 进行 简单 测试 ， 
首先 在 OllyDbg 调 试 器 中 打开 seh.exe， 使 用 汇编 指令 (Space ) 在 EP 代码 处 修改 代码 ， 即 图 48-11 


粗 线 框 中 的 代码 ， 然 后 运行 程序 。 
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图 48-11 EXCEPTION INT DIVIDE BY _ ZERO 异常 
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401220 地 址 处 的 DIV _ ECX 指令 执行 EAX/ECX 运 算 ， 然 后 将 商 保存 到 EAX 寄存 器 。 但 由 于 此 
时 ECX 寄 存 器 的 值 为 0, 即 除法 的 分 母 为 0, 所 以 引发 EXCEPTION INT DIVIDE BY ZERO 异常 ， 
调试 器 暂停 运行 。 
48.4.5 EXCEPTION SINGLE STEP(80000004) 

Single Step ( 单 步 ) 的 含义 是 执行 1 条 指令 ， 然 后 暂停 。CPU 进 入 单 步 模式 后 ， 每 执行 一 条 指 


令 就 会 引发 EXCEPTION SINGLE _STEP 异 常 ， 暂 停 运行 。 将 EFLAGS 寄 存 器 的 TF (Trap Flag, 
陷阱 标志 ) 位 设置 为 1 后 ，CPU 就 会 进入 单 步 工作 模式 。 


提示 
关于 陷阱 标志 与 单 步 的 详细 说 明 请 参考 第 52 章 。 





48.5 SEH 详细 说 明 


48.5.1 SEH 链 


SEHDABERESETE, 588—158 AeA PARARE, CMS RRE P— Tm 
处 理 器 , 直到 得 到 处 理 。 从 技术 层面 看 , SEH 是 由 EXCEPTION REGISTRATION _ RECORD 结构 
体 组 成 的 链表 。 





代码 48-3 EXCEPTION_REGISTRATION_RECORD 结 构 体 
typedef struct _EXCEPTION REGISTRATION RECORD 
t 


PEXCEPTION REGISTRATION RECORD Next; 
PEXCEPTION DISPOSITION Handler; 
} EXCEPTION REGISTRATION RECORD, *PEXCEPTION REGISTRATION RECORD; 出 处 ，MSDN 


Next 成 员 是 指向 下 一 个 EXCEPTION_REGISTRATION_RECORD 结 构 体 的 指针 ，Handler 成 
员 是 异常 处 理 函 数 ( 异常 处 理 器 )。 若 Next 成 员 的 值 为 FFFFFFFF， 则 表示 它 是 链表 的 最 后 一 个 结 
点 。 图 48-12 直 观 形象 地 描述 了 进程 SEH 链 的 结构 。 


HANDLER HANDLER 
(A) (B) 





图 48-12 SEH5*E 


图 48-12 中 共存 在 3 个 SEH ( 异常 处 理 器 )， 发 生 异 常 时 ， 该 异常 会 按照 (A) 一 (B) 一 (C) 
的 顺序 依次 传递 ， 直 到 有 异常 处 理 器 处 理 。 


48.5.2 ”异常 处 理 函 数 的 定义 
SEH 异 常 处 理 函 数 ( SEH 函 数 ) 定义 如 下 : 
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EXCEPTION DISPOSITION except handler 
( 
EXCEPTION RECORD *pRecord, 
EXCEPTION REGISTRATION RECORD *pFrame, 
CONTEXT *pContext, 
PVOID pValue 
); 出 处 ， 该 函数 未 在 MSDN 公 开 ， 上 述 定 义 是 我 综合 各 网 站 信息 给 出 的 。 


异常 处 理 函 数 ( 异常 处 理 器 ) 接收 4 个 参数 输入 ， 返 回 名 为 EXCEPTION_DISPOSITION 的 枚 
举 类 型 ( enum )。 该 异常 处 理 函 数 由 系统 调用 ， 是 一 个 回调 函数 ， 系 统 调用 它 时 会 给 出 代码 48-4 
中 的 4 个 参数 ， 这 4 个 参数 中 保存 着 与 异常 相关 的 信息 。 首 先 ， 第 一 个 参数 是 指向 EXCEPTION - 
RECORD 结 构 体 的 指针 ，EXCEPTION_ RECORD 结构 体 的 定义 如 下 : 





348 RECORDERE 

typedef struct EXCEPTION RECORD í 

DWORD ExceptionCode; // 异常 代码 

DWORD ExceptionFlags; 

struct EXCEPTION RECORD *ExceptionRecord; 

PVOID ExceptionAddress; // 异常 发 生地 址 

DWORD NumberParameters; 

ULONG PTR ExceptionInformation[EXCEPTION MAXIMUM PARAMETERS]; 

DEE =) 

} EXCEPTION_RECORD, *PEXCEPTION_RECORD; 出 处 ，MSDN 


请 注意 该 结构 体 中 ExceptionCode 与 ExceptionAddress 这 2 个 成 员 ,ExceptionCode 成 员 用 来 指出 
异常 类 型 , ExceptionAddress 成 员 表示 发 生 异 常 的 代码 地 址 。 代码 48-4 中 异常 处 理 函 数 的 第 三 个 参 
数 是 指向 CONTEXT 结 构 体 的 指针 ，CONTEXT 结 构 体 的 定义 如 下 ( 供 IA-32 使 用 ): 
代码 48-6 CONTEXT 结 构 体 的 定义 | 
// CONTEXT IA32 
struct CONTEXT 


t 
DWORD ContextFlags; 


DWORD Dr0; // 04h 
DWORD Dr1; // 08h 
DWORD Dr2; // OCh 
DWORD Dr3; // 10h 
DWORD Dr6; // 14h 
DWORD Dr7; // 18h 


FLOATING SAVE AREA FloatSave; 


DWORD SegGs; // 88h 
DWORD SegFs; // 90h 
DWORD SegEs; // 94h 
DWORD SegDs; // 98h 


DWORD Edi; // 9Ch 
DWORD Esi; // Agoh 
DWORD Ebx; // A4h 
DWORD Edx; // A8h 
DWORD Ecx; // ACh 
DWORD Eax; // BOh 


DWORD Ebp; // B4h 
DWORD Eip; // B8h 
DWORD SegCs; // BCh (must be sanitized) 
DWORD EFlags; // COh 
DWORD Esp; // C4h 
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DWORD SegSs; // C8h 


BYTE ExtendedRegisters[MAXIMUM SUPPORTED EXTENSION]; // 512 bytes 
ps 出 处 ，MS SDK 的 winnt.h 


CONTEXT 结 构 体 用 来 备份 CPU 寄存 器 的 值 ， 因 为 多 线程 环境 下 需要 这 样 做 。 每 个 线程 内 部 
都 拥有 1 个 CONTEXT 结 构 体 。 CPU 和 暂时 离开 当前 线程 去 运行 其 他 线程 时 , CPU 寄 存 器 的 值 就 会 保 
存 到 当前 线程 的 CONTEXT 结 构 体 ; CPU 再 次 运行 该 线程 时 ， 会 使 用 保存 在 CONTEXT 结 构 体 的 
值 来 覆盖 CPU 寄存 器 的 值 ， 然 后 从 之 前 暂停 的 代码 处 继续 执行 。 通 过 这 种 方式 ，OS 可 以 在 多 线 
程 环境 下 安全 运行 各 线程 。 : 

提示 —— — MM 
众所周知 ， 多 线程 的 实现 基于 CPU 的 时 间 片 切 分 机 制 ( Time-Slicing )。 这 种 机 制 
T, CPU 会 用 一 定时 间 ( 时 间 片 ) 依次 运行 各 线程 ， 时 间 片 极 短 ， 使 多 个 线程 看 上 去 
就 像 在 同时 运行 一 样 ( 根据 线程 的 优先 级 ,各 线程 在 获取 CPU 控制 权 的 次 数 上 有 差异 )。 


异常 发 生 时 ， 执 行 异 常 代 码 的 线程 就 会 中 断 运 行 ， 转 而 运行 SEH ( 异常 处 理 器 /异常 处 理 
函数 )， 此 时 OS 会 把 线程 的 CONTEXT 结 构 体 的 指针 传递 给 异常 处 理 函数 .( 异常 处 理 器 ) 的 相应 
参数 。 代 码 48-6 的 结构 体 成 员 中 有 1 个 Eip 成 员 (MWE: B8 )。 在 异常 处 理 函 数 中 将 参数 传递 过 
来 的 CONTEXT.Eip 设 置 为 其 他 地 址 ， 然 后 返回 异常 处 理 函 数 。 这 样 ， 之 前 暂停 的 线程 会 执行 新 
设置 的 EIP 地 址 处 的 代码 ( 反 调 试 中 经 常 采用 这 一 技术 ,练习 示例 seh.exe 中 也 采用 了 该 技术 ,后 
面 会 详细 分 析 )。 在 代码 48-4 中 可 以 看 到 异常 处 理 函 数 的 返回 值 为 EXCEPTION_DISPOSITION 榴 
举 类 型 ， 下面 了 解 一 下 该 类 型 。 


typedef enum EXCEPTION DISPOSITION 
1 


ExceptionContinueExecution = 0, // 继续 执行 异常 代码 
ExceptionContinueSearch = 1, // 运行 下 一 个 异常 处 理 器 
ExceptionNestedException = 2, // 在 05 内 部 使 用 
ExceptionCollidedUnwind = 3 // 在 0S 内 部 使 用 
) EXCEPTION DISPOSITION; 出 处 : httpi//www.nirsoft.net/kernel-struct/vista/EXCEPTION. DISPOSITION.html 


异常 处 理 器 处 理 异常 后 会 返回 ExceptionContinueExecution(0)， 从 发 生 异 常 的 代码 处 继续 运 
行 。 若 当前 异常 处 理 器 无 法 处 理 异 常 ， 则 返回 ExceptionContinueSearch(1)， 将 异常 派送 到 SEH 链 
的 下 一 个 异常 处 理 器 。 

提示 ————————————————————Á—— 

我 们 在 后 面 会 调试 seh.exe 的 异常 处 理 函 数 ( 异常 处 理 器 ) 来 进一步 了 解 其 工作 原理 。 


48.5.3 TEB.NtTib.ExceptionList 


通过 TEB 结 构 体 的 NtTib 成 员 可 以 很 容易 地 访问 进程 的 SEH 链 ， 方 法 非常 简单 。 
如 图 48-13 所 示 , TEB.NtTib.ExceptionList 成 员 是 TEB 结 构 体 的 第 一 个 成 员 。FS 段 寄存 器 指向 段 
内 存 的 起 始 地 址 , TEB 结 构 体 即位 于 此 , 所 以 通过 下 列 公式 可 以 轻松 获取 TEB.NtTib.ExceptionListd 
的 地 址 。 
TEB.NtTib.ExceptionList-FS:[0] 
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«struct TEB? 











typedef struct de TIB ( 
struct EXCEPTION. i REGISTRATION RECORD *ÉxceptionList; 
 PVOID SteckBase; ` 
PVOID StackLimit; 







图 48-13  TEB.NtTib.ExceptionList 


提示 
关于 TEB 结构 体 的 详细 说 明 请 参考 第 46 章 。 








48.5.4 SEH 安装 方法 


在 C 语 言 中 使 用 _try、__ except、__finally 关 键 字 就 可 以 很 容易 地 向 代码 添加 SEH。 在 汇编 
语言 中 添加 SEH 的 方法 更 加 简 如 代码 48 8 所 示 。 





代码 48-8 ”使 用 汇编 语言 安装 SEH 


PUSH @MyHandler : ;  ATASR 
PUSH DWORD PTR FS: [0] ; Head of SEH Linked List 
MOV DWORD PTR FS:[0], ESP ; 添加 链表 


看 代码 48-8 就 容易 理解 了 。“ 在 程序 代码 中 安装 SEH” 就 是 指 ,将 自身 的 异常 处 理 器 添加 到 
已 有 的 SEH 链 。 从 技术 层面 讲 ， 就 是 将 自身 的 EXCEPTION_REGISTRATION_RECORD 结 构 体 链 
接 到 EXCEPTION_REGISTRATION_RECORD 结 构 体 链表 。 前 面 出 现 的 seh.exe 程 序 就 是 采用 上 述 
汇编 代码 添加 的 SEH， 下 面 再 次 调试 seh.exe 程 序 以 进一步 了 解 添加 SEH 的 方法 及 其 工作 原理 。 


48.6 SEH 练习 示例 #2 (seh.exe) 


首先 使 用 OllyDbsg 调 试 器 打开 seh.exe 程 序 , 运行 到 401000 地 址 处 ( 此 处 为 seh.exe 程 序 的 main() 
函数 )。 我 编写 的 全 部 代码 如 图 48-14 所 示 。 


PUSH 06040105A SE handler installation 
Bá4iBdS| . FI 8 PUSH DWORD PTR FS: C58] 
. ee s Moy DWORD PTR FS: [8],ESP 


: 9 | 

. 33C0 pus EAX, El 
HE croa 4 MOU BORD Prr DS: [EAX], 1 EXCEPTION RCCESS UIOLRTION 

£ 


Style = ng OK | MB_APPLMODAL 
itle = n "ReverseCore” 


68 00i PUSH à 
. 68 84 PUSH 00409284 
. 68 98 FUSH 8 06409590 


. PFE1S CALL DWORD PTR DOS: [<&USERS2, MessageBosR>] 
EB 14; JMP SHORT 00401040 

6A ü8| PUSH d 

68 84 J PUSH 20409284 

68 AS$ PUSH 984092ns 


à E ge! PUSH à 
š CALL DWORD PTR DS: [C8USER32. MessageBonA>] 
AR un POP DUORD PTR FS:t6l 
TN 






NB_OK i MB- RPPLHODRL 
"ReverseCore" 


. 8304 1 
E: " a 


is] E MOU ESI, DWORD FTR SS: LESP4CI Structured exception handler 
. oani MOU ER, DWORD PTR_FS:[30] 
. CMP BYTE PTR DS:[EAX+2], 1 
PS04619 E Eu Bc] JHE SHORT 00401076 
me4saiecH||. C786 g Mou DWORD PTR DS: [ESI+BS8], 00401023 
. JMP SHORT 00401080 
0864010676 | > C786 iio PWORB E PTR DS:[ESI+B8], 00401039 


88401032|U, C3 











图 48-14 ”seh.exe 代 码 


位 于 401000、401005、40100C 地 址 处 的 3 条 指令 与 “SEH 安 装 方法 ”中 讲 的 汇编 指令 是 一 样 
的 。 从 图 48-14 中 可 以 看 到 ， 新 添加 的 异常 处 理 器 就 是 位 于 40105A 地 址 处 的 异常 处 理 函 数 。 
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48.6.1 查看 SEH 链 
续 运 行 代码 到 401005 地 址 处 , 查看 FS: “es 其 值 就 是 SEH 链 的 起 始 地 址 , 如 图 48-15 所 示 。 








00000000 
8012FF88 -8812FF9h 
-FDFSA9|08 60 73 FE| 9V 69 0B OG : -| set2rrac] ums RETURN to kerne132.7718 





图 48-15 FS:[0]=SEH 链 起 始 地 址 


从 代码 信息 窗口 中 可 以 看 到 ，FS:[0]=[7FFDF000]=12FF78， 其 中 12FF78 就 是 SEH 链 的 起 始 地 
hk ( BÜEXCEPTION REGISTRATION RECORD 结构 体 链表 的 起 始 地 址 )。 在 上 图 的 栈 窗口 中 查 
看 地 址 12FF78, 可 以 发 现 第 一 个 EXCEPTION_ REGISTRATION _ RECORD 结构 体 (Next=12FFC4， 
Handler=402730 )。 异 常 处 理 器 地 址 402730 存 在 于 seh.exe 进 程 的 代码 节 区 (该 异常 处 理 器 是 VC++ 
生成 PE 文件 时 默认 添加 到 其 启动 函数 的 ,请 各 位 自行 查看 位 于 402730 地 址 处 的 异常 处 理 器 代码 )。 
然后 转 到 12FFC4 地 址 处 ， 查 看 链表 中 的 第 二 个 EXCEPTION_ REGISTRATION _ RECORD 结构 体 
(参考 图 48-16 )。 


8012FFBN Cx 





8012FFD8| 7729B3C8| RETURN to ntd11.7729B3C8 from ntd11.7729B3CE - 


um z m WU 
图 48-16 最 后 一 个 异常 处 理 器 


从 图 48-16 可 以 看 到 ， 第 二 个 结构 体 的 Next 成 员 值 为 FFFFFFFF， 所 以 第 二 个 EXCEPTION_ 
REGISTRATION_RECORD 结 构 体 也 是 SEH 链 表 的 最 后 一 个 结构 体 。 异常 处 理 器 地 址 为 7717D74D， 
它 位 于 ntdll.dll 模 块 的 代码 区 域 ,是 OS 的 默认 异常 处 理 器 ( 创建 进程 时 ,OS 会 自动 产生 默认 的 SEH )。 


48.6.2 添加 SEH 


运行 401005 地 址 处 的 PUSH DWORD PTR FS:[0] 指 令 ( 参考 图 48-15 ), 查看 栈 窗 口 , 如 图 48-17 所 示 。 





B812FF78 
8612FF48| 86046185A 
B812FF^^| 004811C2 
88612FF48| 00088881 


图 48-17 RAO 
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栈 中 新 创建 了 _EXCEPTION_REGISTRATION_RECORD 结 构 体 。 继 续 执 行 40100C 地 址 处 的 
MOV DWORD PTR FS:[0],ESP 指 令 ( 参考 图 48-15 )， 查 看 栈 窗口 ， 如 图 48-18 所 示 。 


ELE 





Entre 805811C2 RETURN to seh.8858011C2 from se 
8812FF48| 808060861 


图 48-18 ”添加 新 的 SEH 
栈 窗 口中 出 现 了 新 生成 的 SEH 的 注释 ( Next=12FF78, Handler-40105A )。 新 的 异常 处 理 器 
(40105A ) 就 这 样 添加 到 SEH 链 。 
提示 一 一 
只 看 代码 48-6 会 感觉 很 难 ， 实 际 调试 并 查看 栈 就 比较 容易 理解 。 


OllyDbg 调 试 器 中 提供 了 查看 SEH 链 的 功能 。 在 OllyDbg 主 菜单 中 依次 选择 View-SEH Chain 
目 ， 即 可 打开 SEH 链 查看 窗口 。 
如 图 48-19 所 示 ， 在 SEH 链 窗口 中 可 以 看 到 添加 在 顶端 的 异常 处 理 器 (40105A )。 






| 
. 861 2FFCA4| ntdll. 77147074D 


|: 
| 
ln 
d 


图 48-19”SEH 链 查看 窗口 


48.6.3 发 生 异 常 


如 果 执 行 401019 地 址 处 的 MOV DWORD PTR DS:[EAX],1 指 令 (参考 图 48-14 )， 就 会 引发 
EXCEPTION_ACCESS_VIOLATION 异 常 ( 该 异常 已 做 说 明 ， 此 处 不 再 袭 述 )。 此 时 程序 处 在 调 
试 之 中 ,根据 异常 处 理 的 顺序 ，OS 会 把 控制 权 交 给 调试 器 ( 异常 处 理 器 (40105A ) 未 运行 ), 在 
40105A 地 址 处 设置 断 点 ， 然 后 按 Shift+F9 组 合 键 ， 再 将 异常 派送 给 被 调试 进程 ( seh.exe )， 调 试 
器 暂停 在 设置 的 断 点 处 (40105A )。 

如 图 48-20 所 示 ， 被 调试 者 会 调用 注册 在 自身 SEH 链 中 的 异常 处 理 器 来 处 理 异 常 。 设 置 好 断 
点 后 ， 接 下 来 即 可 调试 异常 处 理 器 。 









HüU EST.DWORD PTR SS:[ESP«C]. 
MOU ERX,DWORD PTR FS:[38] 
CMP BYTE PTR DS:[ERX*2],1 
JNZ SHORT 00401076 
MOU DWORD PTR DS:[ESI+B8], 00401023 
m JMP SHORT 884819088 

Eroe pusasess Soiasass [MM DHONA TER. DS: [ESI«B8], 00581039 
> 33c8 | XOR EAX,EAX 
. t3 [RETH 


图 48-20 异常 处 理 器 (40105A ) 





A 

00401085E - A1 300 
08401054 . 8078 02 01 

005481068 -. 75 0C 

68401868 - cne Aaii 231040988 
805481874 
880581876 
885018868 
80561082 





4864 ”查看 异常 处 理 器 参数 
调试 SEH 时 ， 栈 中 存储 的 参数 ( 关于 参数 的 说 明 请 参考 代码 48-4 ) 如 图 48-21 所 示 。 
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8812FB55 771865F9 RETURN ta ntdll.771865F9. 






FBó 
8812FB6C 
8812FB79 





771A668D SE handler 
9812FF3C 










D012FB75 8012FC25 
80812FB78 771865CB|RETURN to ntd11.771865CB fror 
9812FB7C 8612FC3C 





图 48-21 调用 异常 处 理 器 时 的 栈 


第 一 个 参数 ( ESP+4 ) 是 指向 EXCEPTION _ RECORD 结构 体 的 指针 pReord ( 12FC3C )， 查 看 
结构 体 中 的 数据 ， 如 图 48-22 所 示 。 







图 48-22 EXCEPTION _ RECORD 结构 体 


参考 图 48-22 以 及 代码 48-5 中 关于 EXCEPTION _ RECORD 结构 体 的 定义 可 知 ，ExceptionCode 
( pRecord+0 ) 为 C0000005 ( EXCEPTION ACCESS VIOLATION )， 发 生 异 常 的 代码 地 址 
ExceptionAddress 为 401019 ( 对 照 图 48-14 可 知 发 生 异 常 的 代码 地 址 是 准确 的 )。 

第 二 个 参数 ( ESP+8 ) 是 指向 EXCEPTION REGISTRATION RECORD 结 构 体 的 指针 
( pFrame )， 其 值 为 12FF3C， 它 是 SEH 链 的 起 始 地 址 。 

第 三 个 参数 (ESP+C ) 是 指向 CONTEXT 结 构 体 的 指针 pContext( 12FC58 ), 查看 指针 pContext 
所 指 的 地 址 空间 。 

如 图 48-23 所 示 , CONTEXT 是 一 个 非常 大 的 结构 体 ( 大 部 分 成 员 的 值 为 NULL )。 其 中 需要 特 
别 注意 的 是 Eip 成 员 ， 它 位 于 从 结构 体 偏 移 B8 的 位 置 ， 存 储 着 发 生 异 常 的 代码 地 址 。 





12F 88 00 OH ON OG 00 OG 60 60 G8 
8ü012FC68|00 08 OG 00 08 OO OG O8 80 OG OO 00 7F 02 G 
8812FC78| 08 08 80 OG FF FF 688 HO 08 00 08 00 60 60 
89812FC88| 80 06 HA 60 60 OG 68 08 O8 HG O8 O0 OG OG G 
80812FC98 80 08 00 00 60 OG 68 G0 GB OO ƏH 86 HG 60 
8012FCR8| 800 08 00 OG OG OG OG 008 08 HA 08 GO HG 00 
8812FCB8 00 88 00 08 O OG OU HG GB O8 00 80 00 080 
8812FCC8| 00 88 06 “i 82 800 88 08 08 OA 08 HO 08 HA 
8912FCD8| 00 O8 OO O0 OG 68 88 00 GB OB OB OU OG 8A 
8612FCE8|3B 08 08 00 23 08 08 00 23 06 08 O0 08 08 
8812FCF8| 00 00 00 00 00 78 FD 7F F4 6h 28 77 01 88 
86012FD88| 00 08 08 08 88 FF 12 08 1B 88 
8812FD18| 56 83 81 00 3C FF 12 88 JF o8 
8012FD28|80 08 88 08 00 66 OB 00 08 OG OG HO 00 8B 
8012FD38|08 08 08 80,80 1F 88 00 FF FF 00 00 00 08 
8012FD^48|00 08 OO 00 0O OO OO OO OO OG OO 00 00 68 
5012FD58| 00 08 00 00 80 68 OG O0 08 OO OO 88 60 HA 
8812FD68| OG BB 80 08 HO HG HA OA GB O6 HA 88 O8 HG 
8612FD78, 00 688 80 OO 80 68 880 80 60 66 HA 88 08 88 
5012FD88| 00 OG 00 00 00 HA G8 80 AG BO 08 OD 08 HB 
8012FD98 68 08 OO 00 00 60 GB OA O8 BB OB HG HG BB 
80412FDñ8 00 HO OO 00 OO 68 OO 00 OG 00 00 08 OO 60 
8012FDB8|80 OG 08 OO OO HO DB OO OG 00 OG GO OG 8A 
6812FDC8|80 88 OA 80 60 68 HG 008 OG GG BG HA HG 66 


图 48-23 CONTEXT 结构 体 


最 后 一 个 参数 pValue ( ESP+10 ) 供 系 统 内 部 使 用 ， 可 以 忽略 。 
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48.6.5 ”调试 异常 处 理 器 

40105A 地 址 处 的 异常 处 理 器 (参考 图 48-20 ) 中 存在 着 调试 器 检测 代码 。 虽 然 简单 ， 却 是 非 
常 具 有 代表 性 的 反 调 试 代 码 。 下 面 仔细 分 析 一 下 。 
0040105A MOV ESI,DWORD PTR SS:[ESP+C] ; ESI = pContext 

[ESP+C] 是 异常 处 理 器 第 三 个 参数 pPContext 的 值 。 以 上 命令 用 来 将 pContext 地 址 ( 12FC58 ) 
传送 到 ESI 寄 存 器 。 
0040105E MOV EAX,DWORD PTR FS:[30] ; EAX = address of PEB 

上 述 指令 用 于 将 FS:[30] 的 值 传送 给 EAX 寄存 器 ，FS:[30] 就 是 PEB 结 构 体 的 起 始 地 址 
(7FFD7000， 参 考 图 48-24 )。 








040105E Dy 
0501065 ||. S078 82 01 CHP BYTE PTR DS:[ERX*2],1 
| 68581668 75 BC JNZ SHORT 00401076 
605016068 - C786 B8080088 23105008 | HOU DWORD PTR DS:[ESI+B8], 8086401023 
8581875 -~ EB BA JMP SHORT 805801088 
> C786 B88080808 391854888 |MOU DWORD PTR DS:[ESI«*B8],80501039 
> 3368 XOR ERX ,ERX 
c3 RETN 























| 86581682 








图 48-24 PEB 的 起 始 地 址 


00401064 CMP BYTE PTR DS:[EAX+2],1 
上 述 指令 用 于 读 取 [EAX+2] 地 址 中 的 1 个 字 节 值 ， 然 后 与 1 比较 。 由 于 EAX 当前 保存 着 PEB 的 
起 始 地 址 ， 所 以 [EAX+2] 指 的 是 PEB.BeingDebugged 成 员 。 


PEB 结构 体 部 分 成 员 

+0x000 InheritedAddressSpace : UChar 

+0x001 ReadImageFileExecOptions : UChar 

+0x002 BeingDebugged : UChar 

+0x003 SpareBool : UChar 

+0x004 Mutant : Ptr32 Void 

+0x008 ImageBaseAddress : Ptr32 Void 

+0x00c Ldr :Ptr32 PEB LDR DATA 


+0x010 ProcessParameters : Pr32. RTL. USER PROCESS PARAMETERS 





从 图 48-25 可 以 看 到 ，[EAX+2]=[7FFD7002]=PEB.BeingDebugged 的 值 被 设置 为 1， 表 示 进 程 
处 于 调试 状态 。 
00401068 JNZ SHORT 00401076 

若 上 一 条 CMP 命 令 中 的 2 个 比较 对 象 不 同 ， 则 执行 JNZ (Jump if Not Zero) 命令 跳 转 。 由 于 
PEB.BeingDebugged 的 值 为 1， 所 以 不 跳 转 ， 即 不 执行 该 JNZ 指 令 ， 如 图 48-26 所 示 。 


48.6 SEH 练习 示例 #2 (seh.exe ) 

















Z#FFD70008 00 860 68 FF FF FF FF 88 88 48 00 80 78 31 
7FFD7018|38 11 88 08 08 08 00 00 08 29 88 88 73 31 
7FFD7820|00 00 OO OO 08 OG 00 08 81 08 OO 00 20 Fő 99 75|........ s 
7FFD7638|08 80 80 00 80 00 80 0808 08 48 77 00 BB 80 08|.......... 
ZFFD7880 60 72 31 77 3F 88 08 88 00 OG 868 OA 66 86 óF 
ZFFD7056 08 08 88 68 98 85 óF 7F 08 08 FA 7F OG 88 FA 7F| ....?08..?.. 






ZFFD7860 24 88 FD 7F 01 88 88 88 780 88 868 80 60 H 06 
7FFD7676/ 08 80 9B 87 6D E8 FF FF 00 00 18 88 08 28 08 G 
7FFD7888|88 08 01 80 GƏ 18 80 08 05 GG O0 88 18 88 860 
7TFFD7998 





08 75 31 77 88 80 57 08 08 00 88 80 1^ 88 O0 





图 48-25 PEB.BeingDebugged 





° 8875425 BC MOU ESI, : 
65:01 38888888 NOU EAX, DWORD PTR FS:[38] 

8878 Á so CHP BYTE PTR DS:[ERX*2],1 
r i Ç pum JINZI SHORT 00481 9n 














|| 00501076 
|| 00501889 
| 08481882 









XOR ERX,ERX 
_| RETN 








图 48-26 ”JNZ 指 今 


程序 非 调试 运行 时 ,执行 此 处 会 跳 转 到 401076 地 址 处 。 若 程序 处 在 调试 运行 状态 
JNZ 指 令 ， 直 接 执行 40106A 地 址 处 的 指令 


0040106A 


由 于 当前 进程 处 于 调试 之 中 , 所 以 会 执行 上 述 指 


. MOV DWORD PTR DS:[ESI+B8],00401023 
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， 则 跳 过 该 


So 当前 ESI 寄 存 器 中 保存 着 CONTEXT 结 构 


体 的 起 始 地 址 ( pContext=12FC58 )。 从 图 48-26 可 知 ， [ESI+-B8]=[12FD10]=pContext—Eip ( 当前 
值 为 401019 )。 
也 就 是 说 ,上述 指 令 用 来 将 pContext 一 Eip 值 更 改 为 401023。 异 常 处 理 器 终止 时 , 发生 异 常 的 
线程 会 运行 401023 地 址 处 的 代码 。 如 图 48-27 所 示 ，401023 地 址 处 的 代码 用 来 弹出 一 个 消息 框 ， 
显示 “Debugger Detected:(” 消 息 文本 。 





|| 9805841057 


8058928. 


80509298 


Style = HB OK|MB APPLMODAL 

Title = "ReuerseCore" 

Text = "Hello :)" 

P hüener = NULL 

- FF15 ESL CALL DWORD PTR DS:[<&USER32 -MessageBoxh>] MessageBoxR 

> 6N:8F05 POP DWORD PTR FS:[6] ntd11.772865F9 

. 83C4 ON ADD ESP ,# 
TN 


- 68 8592|PUSH 880509285 
. 68 R592:PUSH 880509285 




















图 48-27 ”401023 地 址 处 的 代码 


为 了 方便 调试 ， 在 401023 地 址 处 设置 断 点 。 


00401074 


JMP SHORT 00401080 ° 














由 于 pContext-*Eip 值 已 经 发 生 改 变 , 所 以 执行 流 跳 转 到 异常 处 理 器 的 终止 代码 处 ( 401080 )。 


00401076 


MOV DWORD PTR DS:[ESI«B8],00401039 
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d ———— 
车 程序 运行 在 非 调试 状态 下 ， 则 执行 401068 地 址 处 的 JNZ 指令 (参考 图 48-26 ), 
跳 转 到 401076 地 址 处 。 如 上 所 示 ，401076 地 址 处 的 指令 用 来 将 pContextEip 值 更 改 
Jj 401039, 401039 地 址 处 的 代码 用 来 弹出 消息 对 话 框 ， 显 示 “Hello:)” 消 息 文 本 ( 参 
考 图 48-28 )。 






































uc 
| 8854018023 - 6R 88 |PUSH & Style = MB OK|MB RPPLHODAL 
88401025 - 68 8492; PUSH 00409285 Title = "ReverseCore" 
|| 68501028 - 68 9892|PUSH 80509298 Text = "Debugger detected :(" 
—< 88n0182F - 6R 88 |PUSH 8 hüwner = NULL 
| 08501031 - FF15 E8{ CALL DWORD PTR DS:[X&USER32.HMessageBoxfi»] MessageBoxñ 
8804818037 -~ EB 14 JMP SHORT 80401864D 
8850928 
88589285: 
ALL 
60640104D | >  65:8F05|POP DUORD PTR FS:[8] ntd11.772865F9 
| 885601055 . 83C4 85|RDD ESP ,#H 
88401857 . C3 RETN 


图 48-28 401039 地 址 处 的 代码 


00401080 XOR EAX,EAX 
00401082 RETN 


最 后 两 条 指令 中 先 将 返回 值 ( EAX ) 设置 为 0, 然后 异常 处 理 器 返回 。 返 回 值 0 代表 EXCEPTION — 
CONTINUE_EXECUTION， 表 示 异 常 得 到 人 处理 ， 相 关 线 程 可 以 继续 运行 ( 参考 代码 48-7 )。 

提示 ———— SSSA 
本 练习 示例 (seh.exe ) 的 目的 在 于 向 各 位 展示 使 用 SEH 进行 反 调 试 的 技术 。 所 以 
在 代码 中 故意 引发 了 异常 ， 然 后 在 SEH 中 根据 调试 与 否 修改 了 运行 分 支 。 若 熟悉 了 该 
技术 ， 调 试 压 缩 器 /保护 器 类 的 文件 时 会 非常 有 帮助 。 


运行 到 401082 地 址 处 的 RETN 指 令 时 ， 控制 权 被 返回 至 ntdll.dll 模 块 中 的 代码 区 域 ， 它 属于 系 
统 区 域 ， 所 以 在 OllyDbg 中 按 F9 运 行 键 后 ， 调 试 会 在 401023 地 址 处 (设置 有 断 点 ) 暂停 (参考 图 
48-27 )。 

使 用 StepOver(F8) 指 令 使 调试 运行 到 401031 地 址 处 的 CALL 指 令 , 弹出 一 个 消息 框 。 按 “确定 ” 
按钮 关闭 消息 框 后 ， 执 行 401037 地 址 处 的 JMP SHORT 40104D 指 令 ， 跳 转 到 删除 SEH 的 代码 处 
( 40104D )。 


48.6.6 ”删除 SEH 


在 程序 终止 前 删除 已 注册 的 SHE， 如 图 48-29 所 示 。 

调试 运行 到 40104D 地 址 处 查看 栈 , EXCEPTION_REGISTRATION_RECORD 结 构 体 存储 在 其 
中 (12FF3C ), 该 结构 体 是 SEH 链 中 最 初 运行 的 异常 处 理 器 。40104D 处 的 POP DWORD PTR FS:[0] 
指令 用 来 读 取 栈 值 ( 12FF78 )， 并 将 其 放 人 FS:[0]。FS:[0] 是 TEB.NtTib.ExceptionList，12FF78 就 
是 下 一 个 SEH 的 起 始 地 址 。 执 行 该 命令 后 ， 前 面 注册 的 SEH ( 12FF3C ) 被 从 SEH 链 中 删除 。 然 后 
执行 401054 地 址 处 的 ADD ESP,4 指 令 ， 将 栈 中 的 异常 处 理 器 地 址 (40105A ) 也 删除 。 请 各 位 反复 
调试 ， 查 清 栈 中 数据 变化 的 情况 。 
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|| 60181054 
|| 00501857 
|| 00501058 
00481059 
E 
[Stack [0812FF3C]=0012FF78 (88012FF78). 
|Fs:[808000880]-[7FFDF860]-0012FF3C 
| Jump from 88481037 













| Ë š | RAE ' 
| 0012FF78| Cs FF 12 00/38 27 49 00 98 62  [9O12FFA8) oOnO10sn|SE handler me 
| 812FF88| 94 rr 12 60 75 11 18 77/88 70. [UOTZFFWUT UOS RETURN to een aano zr 









图 48-29 删除 SEH 的 代码 


48.7 设置 OllyDbg 选项 


我 们 已 经 学 习 了 SEH 的 工作 原理 ， 并 通过 练习 示例 了 解 了 利用 SEH 进 行 反 调试 的 技术 。 本 章 

最 重要 、 最 关键 的 内 容 概括 如 下 : 
通过 处 理 使 被 调试 者 将 自身 异常 首先 发 送 给 调试 器 。 

上 述 原理 作用 下 , 程序 在 正常 运行 与 调试 运行 时 有 不 同 的 分 支 代码 ,借助 SEH 实 现 的 反 调 试 
技术 非常 多 , 这 为 代码 调试 带 来 诸多 不 便 , 使 调试 更 加 困难 。 那 么 ,有 没有 更 方便 的 调试 方法 呢 ? 
OllyDbg 调 试 器 提供 了 调试 选项 ， 调 试 中 的 程序 发 生 异 常 时 ， 调 试 器 不 会 暂停 ， 会 自动 将 异常 派 
送 给 被 调试 者 (看 上 去 与 正常 运行 一 样 )。 在 OllyDbg 的 菜单 栏 中 选择 Options - Debugging options 
菜单 (快捷 键 Alt+O )， 打 开 Debugging options 对 话 框 ， 如 图 48-30 所 示 。 








图 48-30 Debugging options 菜 单 


然后 在 Debugging options 对 话 框 中 选择 Exceptions 选 项 卡 。 
如 图 48-31 所 示 ，Exceptions 选 项 卡 包含 多 个 选项 ， 下 面 逐 一 介绍 。 



















| Commands | Disasm | CPU | Registers | Stack | Analysis 1 | Analysis 2 | Analysis 3 
| Secuiy | Debug | Events Trace | SF% | Stings | Addiesses 
[Ç ignore memory access violations in KERNEL32 
Ignore (pass to program] following exceptions: 
| T^ INT3 breaks 
| ^ Single-step break 
f^ Memor access violation 
T^ Integer division by Ü 
[ Invalid or privileged instruction 
T^ AI FPU exceptions 
[^ Ignore also following custom exceptions or ranges: 
^^ _Addlast exception | 
Add range | 













图 48-31 Debugging options 对 话 框 的 Exceptions 选 项 卡 
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48.7.1 忽略 KERNEL32 中 发 生 的 内 存 非法 访问 异常 


复 选 Tgnore memory access violations in KERNEL32 选 项 后 ，kernel32.dll 模 块 中 发 生 的 内 存 非 
法 访问 异常 都 会 被 忽略 ( 该 选项 默认 处 于 选中 状态 ,保持 不 变 即 可 )。 


48.7.2 向 被 调试 者 派送 异常 
Ignore(pass to program)following exceptions 选 项 下 存在 多 个 异常 复 选 框 ， 如 图 48-32 所 示 。 


Ignore [pass to program) following exceptions: 
[^ INT3 breaks 
J” Single-step break 
[^ Memory access violation 
[^ Integer division by Ü 
[^ Invalid or privileged instruction 
[T AIIFPL exceptions 


图 48-32 Ignore(pass to program)following exceptions 选 项 


Ignore(pass to program)following exceptions 选 项 共有 6 个 异常 选项 ,前 5 个 已 经 介绍 过 了 。 Rd; 
左 侧 复 选 框 选中 后 , 发 生 相 应 异常 时 OllyDbg 调 试 器 就 会 忽略 该 异常 , 并 且 将 其 派送 给 被 调试 者 。 
接 下 来 简单 介绍 All FPU exceptions 选 项 。FPU ( Floating Point Unit， 浮 点 运算 单元 ) 是 专门 
用 于 浮 点 数 运 算 的 处 理 器 ， 它 有 一 套 专用 指令 ， 与 普通 x86 指 令 的 形态 结构 不 同 。 复 选 All FPU 
exceptions 选 项 后 ， 人 处 理 FPU 指 令 过 程 发 生 异 常 时 ， 调 试 器 会 无 条 件 将 异常 派送 给 被 调试 者 处 理 。 


48.7.8 ”其 他 异常 处 理 


Exceptions 选 项 卡 中 还 有 一 个 Ignore also following custom exceptions for ranges 选 项 , 如 图 48-31 
所 示 。 复 选 该 选项 后 ， 用 户 可 以 直接 添加 (或 删除 ) 其 他 各 种 异常 ,发 生 这 些 异常 时 ,调试 器 会 
将 它们 直接 派送 给 被 调试 者 处 理 。 调 试 时 灵活 运用 OllyDbg 的 Exceptions 选 项 ,可 以 在 不 暂停 调试 
器 的 前 提 下 自动 规避 使 用 SEH 实 现 的 反 调试 “花招 ”， 从 而 继续 调试 。 


48.7.4 简单 练习 


首先 在 OllyDbg 调 试 器 中 打开 seh.exe 程 序 ， 然 后 在 Exceptions 选 项 卡 中 进行 相应 设置 ， 如 图 
48-33 所 示 。 

如 上 设置 后 ， 程 序 在 调试 运行 时 发 生 以 上 6 种 异常 时 ， 调 试 器 会 忽略 ， 将 它们 直接 派送 给 被 
调试 者 。 所 以 seh.exe 程 序 中 发 生 的 EXECEPTION ACCESS _VIOLATION 异 常会 由 自身 的 SEH 处 
EB ( 调试 过 程 不 会 暂停 )。 关闭 Debugging options 对 话 框 后 ， 按 F9 运 行程 序 ， 直 接 弹出 “Debugger 
detected:(” 消 息 框 。 

程序 运行 过 程 发 生 异常 时 , 调试 器 会 将 它们 派送 给 被 调试 者 的 SEH 处 理 , 调试 器 不 会 暂停 而 
直接 弹出 图 48-34 所 示 的 消息 框 。 通 过 SEH 内 部 的 调试 器 检测 代码 ( PEB.BeingDebugged ) 弹出 与 
正常 运行 时 完全 不 同 的 消息 框 (相关 解决 方法 请 参考 第 50 章 )。 


Commands | Disasm | CPU | Registers | Stack | Analysis 1 | Analysis 2 | Analysis 3 
| Security | Debug | Events Exceptions | Trace | SFX | Stings | Addresses 
IV. Ignore memory access violations in KERNEL32 
lgnore (pass to program) following exceptions: 
TV. INT3 breaks 
ÍV Singlestep break 
IV Memory access violation 
IV. Integer division by Ü 
Iv. Invalid or privileged instruction 
ÍV All FPU exceptions 
T^ Ignore also following custom exceptions or ranges: 


^ Add last exception _ | 


Add 


tange 
+ Delete selection | 





F 


图 48-34 SHE "Debugger detected:(" 
提示 
我 并 未 在 一 开始 的 时 候 就 介绍 OllyDbg 调试 器 的 Exceptions 选项 ， 而 是 将 它 放 在 
本 章 最 后 ， 目 的 在 于 先 向 各 位 讲解 SEH 的 内 部 工作 原理 。 不 理解 内 部 工作 原理 ， 只 学 


习 相 关 工 具 的 使 用 技巧 ， 就 如 同 在 沙滩 上 建 房子 一 样 。SEH 用 途 广泛 ， 若 想 学 好 逆向 
分 析 技 术 ， 必 须 先 掌握 SEH 的 内 部 工作 原理 。 


48.8 小结 


SEH 大 量 应 用 于 压缩 器 、 保 护 器 、 恶 意 程序 ( Malware )， 用 来 反 调试 。 大 家 研究 与 调试 SEH 


的 过 程 中 , 会 进一步 加 深 对 Wiondows OS 内 部 结构 的 认识 , 提高 自身 逆向 分 析 技 术 水 平 。 关 于 SEH 
的 讲解 先 到 这 里 ， 后 面 的 调试 练习 中 还 会 遇 到 。 


第 49 章 ”IA-32 指 令 


本 章 将 学 习 有 关 IA-32 指 令 (或 称 x86 指 令 ) 的 内 容 。 各 位 刚 开 始 会 觉得 指令 比较 复杂 ,但 车 
理解 了 指令 的 解析 方法 与 原理 ,就 能 够 轻松 地 将 指令 转换 为 反 汇 编 代 码 。 掌握 了 这 些 内 容 后 ,各 
位 的 逆向 分 析 技术 水 平 将 提高 到 一 个 新 的 层次 。 


49.1 1IA-32 指令 


简 言 之 ， 指 令 是 指 CPU 能 够 识 读 的 机 器 语言 ( Machine Language )。IA-32 指 令 指 IA-32 (Intel 
Architecture 32 位 ) 系列 CPU 使 用 的 指令 。 






MOU DWORD PTR DS:L40D8181,ERX 
MOU DWORD PTR DS:[4000141, ECX 
MOU DWORD PTR DS:t40D8101,EUX 


图 49-1 IA-32 指 今 


如 图 49-1 所 示 ， 粗 线 框 中 的 每 一 行 都 是 1 条 指令 (E8 CC270000, E9 A4FEFFFF、8BFF、55 
等 都 是 [A-32 指 令 )。 编 程 人 员 使 用 程序 语言 (C/C++、JAVA、Python 等 ) 编写 程序 ， 而 CPU 则 使 
用 机 器 语言 ， 编 程 人 员 编写 的 程序 源 代 码 需要 编译 /链接 后 转换 为 CPU 可 以 识 读 的 机 器 语言 。 

提示 二 

关于 IA-32 的 详细 说 明 请 参考 以 下 链接 。 

维基 百科 : http://zh.wikipedia.org/wiki/IA-32( 中 文 版 ) 
http://en.wikipedia.org/wiki/IA-32 ( 英文 版 ) 
http://ko.wikipedia.org/wiki/IA-32 ( 韩文 版 ) 


IA-32 用 户 手 册 : http://www.intel.com/products/processor/manuals/ 


49.2 ”常用 术语 


下 面 整 理 一 下 逆向 分 析 常 用 术语 。 讲 解 IA-32 指 令 的 过 程 中 将 用 到 下 列 术 语 ， 准 确 理解 并 运 
用 这 些 术语 将 有 助 于 与 他 人 进行 顺畅 的 交流 与 沟通 。 


表 49-1 常用 术语 
术 语 说 明 
Machine Language 机 器 语言 ，CPU 可 以 解析 的 二 进 制 代码 (Binary，0 与 1) 


Instruction 一 条 机 器 指令 (由 OpCode 与 operand 等 组 成 ) 
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(E) 
A š 说 BB 
OpCode 操作 码 (Operation Code) ， 指 令 内 的 实际 指令 
Assembly 汇编 编程 语言 
Assemble 将 汇编 代码 转换 为 机 器 语言 (OpCode) (类 似 于 C/C++ 的 Compile) 
Assembler 执行 Assemble 作 业 的 程序 (如 : MASM, TASM, FASM £) 
Disassemble 将 机 器 语言 转换 为 汇编 语言 (也 用 Unassemble 一 词 ) 
Disassembler 执行 Disassemble 作 业 的 程序 (RARER H-OllyDbg, IDA Pro 等 ) 
Disassembly 经 过 Disassemble 生 成 的 汇编 语言 (变量 名 、 函 数 名 等 被 替换 为 地 址 ， 可 读 性 差 ) 
*Compile 将 C/C++ 等 编写 的 源 代码 转换 为 机 器 代码 (生成 Obj 文 件 ) 
*Link 将 Obj 文 件 链接 为 可 执行 文件 (生成 Exe/DI[ 文 件 ) 


使 用 C/C++ 语言 (或 汇编 语言 ) 创建 出 PE 文件 后 ， 源 代码 就 被 转换 成 了 机 器 码 。 一 名 合格 的 
道 向 分 析 人 员 必 须 能 够 解析 这 些 机 器 码 ， 并 理解 其 工作 原理 。 但 机 器 码 是 用 二 进 制 (0 与 1 ) 表示 
BJ, 我 们 很 难 读 懂 它 。 因 此 一 般 要 把 机 器 码 转换 为 16 进 制 代 码 ， 转换 后 可 读 性 提高 ,但 我 们 识 读 
16 进 制 代码 时 仍然 会 感到 吃力 。 所 以 , 最 后 借助 调试 器 内 骨 的 反 汇 编 器 将 机 器 码 转换 为 反 汇 编 代 
码 ， 识 读 这 些 反 汇编 代码 就 容易 多 了 。 


49.2.1 反 汇 编 器 


图 49-2 显 示 的 是 我 们 熟悉 的 OllyDbsg 调 试 器 的 用 户 界面 。OllyDbsg 调 试 器 内 能 有 IA-32 反 汇编 
器 (Disassembler )。 










CALL 00840101F 



















[ee4e1ees||. ES 1500000 
jes4oieen||. ssc4 e4 RDD ESP,4 
je84e1een||. 33ce XOR ERX,ERX 
[eeaeieorF|l. cs RETH 
|‖56461616| š 3B0D a4Co4000 CHP ECX,DWORD PTR DS:[40C0041 
68461016] ., 75 e2 NZ SHORT 06040101A 
日 ss4al6ls| . F3: PREFIX REP: 
J 00481019] . C3 RETN 
[f 62482191A] >, E9 4ne2eeee JMP 00401269 
用 ss4sleitFlrs 6A ec PUSH BC 
| sg451621|| . 68 B0B44000 PUSH 40B4B0 
9401026 |. Es 79140000 EALL as4a24n4 
B49162B|| .。 33cə XOR EAX, EAX 
5845192D|| . .33F6 XOR ESI,ESI 








0040B384=0940B584 (ASCII "Hello, Reversingt\n”) 
Local call from 00401202 


| d L [| 


a 90 ES 15 BA QO g: 













i 75 08 GF 95|CG SE C6 7S 1D ES 1A 14 00 08 C? 00| uem; 7"71..7 
| S68491648| 16 BA HA HA 56 56 56 56 S6 E8 H2 13/00 00 83 C4| ... . UUUUUmE U, , e 
j| 9324601858| 14 S2 C8 FF EB SF ES 14 03 00 00 6R| 29 SB 63 C3| Tum — 779... [@? 


图 49-2 ”OllyDbg 用 户 界面 


图 49-2 中 ，1 行 代码 就 是 1 条 指令 。(A) 区 域 中 是 16 进 制 表示 的 IA-32 指 令 ，(B) 区 域 中 是 与 之 对 
应 的 反 汇编 代码 ，(C) 区 域 是 指令 在 内 存 (或 文件 ) 中 的 实际 形式 。 








504 €$ 493 IA-32 指令 


Do K————————————— 
以 地 址 401000 处 的 指令 为 例 ，(A) 区 中 的 “68 84B34000” Æ IA-32 指令 ，(B) 区 中 
的 “PUSH 0040B384” 为 反 汇 编 代 码 。 

反 汇 编 代 码 大 致 由 助 记 符 ( Mnemonic ) 与 操作 数 ( Operand ) 组 成 ， 助 记 符 表明 
指令 功能 ,操作 数 指示 操作 对 象 。 "PUSH 0040B384” 指 令 中 ,PUSH 为 助 记 符 ,0040B384 


为 操作 数 。 


内 赂 在 调试 器 中 的 反 汇 编 器 解析 (C) 区 中 的 十 六 进 制 机 器 码 ， 将 它们 切 分 为 (A) 区 中 的 一 条 条 
指令 , 然后 将 每 条 指令 转换 为 (B) 区 中 相应 的 反 汇编 代码 。 从 易 读 性 来 看 ，(C) 中 代码 低 于 (A) 区 代 
码 ，(A) 区 代码 又 低 于 (B) 区 代码 。 逆 向 分 析 人 员 一 般 会 阅读 (B) 区 中 的 反 汇 编 代 码 ,， 并 进行 相应 分 
析 。 学 习 IA-32 指 令 后 就 能 分 析 (A) 区 中 的 代码 了 。 


49.2.2 反 编 译 器 


近来 ， 大量 PE 文件 都 是 使 用 C/C+HVB/Delphi 语 言 编写 的 。 反 编译 器 (Decompiler) 与 反 汇 
编 器 在 概念 上 类 似 , 但 是 反 汇 编 器 用 来 将 机 器 代码 转换 为 反 汇 编 代 码 ,， 而 反 编 译 器 则 用 来 将 机 器 
代码 反 编 译 为 类 似 于 源 代 码 的 代码 ( C/C+HVB+H/Delphi ) ( 反 编 译 时 需 选 用 相应 语言 的 反 编 译 
器 )。 当 然 ， 反 编译 出 的 代码 与 源 代码 还 是 有 一 定 差距 的 ,但 随 着 技术 的 不 断 发 展 ， 这 种 差距 会 
越 来 越 小 。 


492.3 反 编 译 简介 
本 节 我 们 将 在 IDA Pro 分 析 工 具 中 借助 Hex-Rays Decompiler 插 件 将 C 语 言 程序 ( 机 器 代码 ) 反 


编译 为 类 C 语 言 的 代码 ， 并 比较 它 与 程序 源码 的 不 同 。 先 看 程序 的 C 语 言 源 代码 ， 如 图 49-3 所 示 。 


5 

6 int nCount = 0; 

7 char szFile[MAX PATH] = (9,3; 
8 HANDLE hFind - INVALID HANDLE VALUE; 
9 WIN32 FIND DATAA fd; 

1e 

11 wsprintfA(szFile, "XsXX*.*", szPath); 

12 

13 hFind - FindFirstFileA(szFile, &fd); 

14 if( INVALID_HANDLE_VALUE == hFind ) 

15 1 

16 return @; 

17 } 

18 

19: do 

20 { 

21: if( (fd.dwFileAttributes & FILE_ATTRIBUTE_DIRECTORY) && 
22 (fd.cFileName[0] !- '.') ) 

23 { 

24 nCount++; 

25 

26 } while( FindNextFileA(hFind, &fd) ); 

27 

28 FindClose(hFind); 

29 

3e; return nCount; 

31| ) 





图 49-3 “C 语 言 源 代码 
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get_folder_count(LPCSTR szPath) 是 个 非常 简单 的 函数 ， 用 来 计算 参数 给 定 路 径 ( szPath ) 中 
文件 夹 的 个 数 。 上 述 源 代码 经 过 编译 后 生成 PE 文件 ， 在 IDA Pro 分 析 工 具 中 使 用 Hex-Rays 
Decompiler 插 件 将 生成 的 PE 文件 反 编译 ( Decompile ) 为 类 C 语 言 代码 ， 如 图 49-4 所 示 。 


int — thiscall sub A81888(void xthis) 


int v1; // edi&1 

HANDLE u2; // esit 

void *u3; // esi@1 

int result; // eax@2 

char u5; // [sp*Ch] [bp-255h]&1 

struct  WIN32 FIND DATAA FindFileData; // [sp*18h] [bp-258h]G1 
CHAR FileName; // [sp+158h] [bp-118n]&1 

char u8; /7 [sp*151h] [bp-18Fh]&1 

unsigned int v9; // [sp*25Ch] [bp-^h]&1 

v9 = (unsigned int)&u5 ^ dword ^8C885; 

vi = 8; 

u3 = this; 

FileName = 8; 

memset(&u8, 0, @e83u); 

wsprintfRü(&FileHame, "%sWW*.w", u3); 

v2 = FindFirstFilefi(&FileName, &FindFileData); 
if ( v2 == (HRNDLE)-1 ) 


result - 8; 


H 
else 


M 
do 
< 
if ( FindFileData.duFilefittributes & 0x18 ) 


if ( FindFileData.cFileName[8] t= 46 ) 
**u1; 
H 


》 
while ( FindHextFileñ(u2, &FindFileData) ); 


FindClose(u2); 
result = vi; 


return result; 


图 49-4” 反 编译 后 的 C 语 言 代码 


各 位 一 定 大 吃 一 惊 。 从 图 49-4 中 可 以 看 到 ， 反 编译 得 到 的 代码 与 程序 的 源 代码 非常 相似 ， 仪 
函数 名 称 ( sub_401000 )、 变 量 名 称 (v1、v2、v3、v8 ) 不 同 而 已 。 程序 的 代码 较 长 且 较 复杂 
反 编译 得 到 的 代码 可 读 性 可 能 下 降 , 但 是 借助 反 编译 代码 我 们 能 够 快速 把 握 程 序 的 代码 结构 ， 从 
这 个 意义 来 说 ， 反 编译 仍然 是 个 非常 棒 的 功能 。 

拥有 这 种 强大 功能 的 IDA Pro 分 析 工 具 与 Hex-Rays Decompiler 插 件 都 是 付费 的 商业 软件 ， 且 
价格 昂贵 ， 一 般 人 难以 承受 ， 大 部 分 都 由 公司 购买 使 用 。 使 用 OllyDbg 调 试 器 打开 上 而 的 程序 文 
件 ， 可 以 看 到 反 汇 编 后 的 代码 ， 如 图 49-5 所 示 。 

从 图 49-5 中 可 以 看 到 ， 反 汇编 代码 看 上 去 比较 复杂 ， 不 如 反 编译 后 的 代码 更 容易 阅读 ， 由 此 
可 见 反 编译 器 多 么 有 用 。 

提示 一 
请 注意 ， 反 编译 器 也 不 是 万 能 的 。 若 使 用 保护 器 等 工具 故意 打 乱 程序 代码 ， 或 在 
程序 运行 中 使 用 一 些 操作 技术 ， 就 不 能 反 编 译 ， 或 者 使 反 编 译 后 的 代码 更 加 复杂 。 所 
以 ， 学 习 高 级 逆向 分 析 技 术 时 一 定 要 掌握 反 汇编 代码 和 指令 。 














6451051 


MOU EBP,ESP 
00401063 AND ESP,FFFFFFFS 
nao4aigae SUB ESP, 


254 
R1 64C64569| MOU EAX, DWORD PTR DS:L48C804] 














aa4oiaoC | . 
90401911 ||. 33C4 XOR EAX, ESP . 
0461015 ||. 898424 5002| MOU DWORD FTR SS: LESP*2581,ERX kernel32.BaseThreadInitT 
QB4281818 |j. 53 PUSH EBX 
Ga4G1B1E ||. 56 PUSH ESI 
9940101C ||. 57 PUSH EDI 
Ga4ciaiD ||. 68 03010000| PUSH i183 
9804081822 ||. 33FF XOR EDI,EDI 
Bo4aine4 ||. 808424 5SS01|LER EAX, ; PEE PTR SS: LESP*1553 
G04016026 ||. 57 PUSH ED 
BB48162C |. 50 PUSH EB kernelS2.BaseThreadInitT 
GGA401820 |. 8BF1 MOU ESI,ECX 
DB48182F ||. C68424 SCall MOU BYTE PTR SS: rrt sasa B 

5 . ES 0440880800] CALL FolderCo. 00405046 

. 56 PUSH ESI &Zs» = NULL 

Be4alesp||. 8DsSCe4 6661| LER ECX, DWORD PTR SS: LESP*1681 
88401844 || . 68 94B34000 PUSH Fo lderCo, 00406394 Format = "ZssNW, #” 
ao4816849 ||. 51 PUSH ECX s - NULL 
Bed4518d48 ||. FF1S 1CA140| CALL DWORD PTR DS:IX&USERS2.wsprintfRH?J wsprinttRH 
BB481859 ||. 83C4 18 ADD ESP, 13 
0401052 ||. 805424 10 EE EDX, DWORD PTR SS: [ESP+18] 
00401057 |. 52 USH_EDX pFindFileData = FolderCo 
8461858 ||. 808424 5401 [es EAX, DWORD PTR SS: EESP-*1541 
a40 oSF 5a PUSH ERX FileName = "NSB、\8FFUN8S 
0401060 ||. FF1S 0OAG40| CALL DWORD PTR DS:L«&KERMELS2.FindFirstFileR?1 FindFirstFileR 
86451856 ||. 8BF@ MOU ESI, ERK kernel32.BaseThreadInitT 
09401068 ||. 83FE FF CMP ESI, 
Bo4aGlaG6E || .v 75 17 NE SHORT ! to LderCo. 00401084 
00460106D ||. 33C0 XOR EAX, EAX kernel32.BaseThreadInitT 
am48186F ||. SF POP EDI kernel32.76181194 
Ba4alnp78 5E POP ESI kernel32.76181194 
0401671 ||. 5B ` | FOP EBX kernel32.76181194 
se4gior2||. SBSC24 5002| MOV ECX, DWORD FTR SS:[ESP+2501 
92401079 ||. 33CC XOR ECX, ESP 
G040107E ||. ES SD000000]CRLL FolderCo,. 00401100 
0401989 ||. 8BES MOU ESP,EBP 
00401082 ||. SD PDP EBP kernel32.76181194 
0804919353 || 。 C3 RETN 
0040901084 ||» 8B1D 6B8AG48| MOY EBX, DWORD PTR DS:r4&KERNMELS2.FindMestFileR?21| kernel32.FindMestFileR 
aa4oigsam |. 809B Geaaaa LEA EBX, DWORD PTR DS: [EBX] 
B461 ^ F64424 18 1|f TEST BYTE PTR SS:LESP*18], 16 
Ga4o .» ?4 B8 JE SHORT FolderCo.00408109F 
808481 . 807C24 3C 2|| CHP BYTE PTR SS:EESP*SCI,2E 
saü401809C || .v 74 01 JE St FolderCo. 06461683F 
ag4n109E 47 INC EDI 
ün48189F S8D4C24 180 LER Fem DWORD FTR SS: IESP*1871 
aua4ola0nz 51 PLISH EC 
Bo4018q4 ||. 56 PUSH ESI 
ea4eoianct ||. FFD3 CALL EEX 
204016A7 ||. 85C0 TEST EAX, EAX kernel32.BaseThreadInitT 
B8481883 ||.^ 75 ES JHZ SHORT FolderCo. 00401090 
aa4g01BBB |. 56 PUSH ESI hSearch = NULL 
eo4a8180RC ||. FF1S B4A848| CALL DWORD PTR DS: «&KERNELS2.FindClose?1 FindClose 
GG4618BZ ||. 8B8C24 5CO2|MOU ECX, DWORD PTR SS:[ESP+25C] 
904616693 ||. 8BC7 MOU EAX, EDI 
&a40120BE SF PüP EDI kernel32.76181194 
20401608C ||. SE POP ESI kernel32.76181194 
BGa4eoleoBDO ||. SB POP EBX kernel32.76181194 
B4818BE ||. 33CC XOR ECX, ESP 
BB4G18C8 ||. ES 4808000000 CALL FolderCo. 00401100 
aa48010C5 ||. SBES MOU ESP,EBP 
na4816 . SD FOP EBP kernel32.76181194 











üaa4olace c3 RETN 





图 49-5 IRRE 


49.3 1A-32 指令 格式 


提示 

现在 我 们 学 习 中 级 逆向 分 析 技 术 。 如 果 你 仍 是 逆向 分 析 技 术 的 初学 者 ， 不 太 理 解 
本 部 分 内 容 ， 没 关系 ,阅读 后 直接 跳 过 即 可 。 以 后 自己 的 技术 水 平 提高 了 ， 需 要 了 解 
指令 相关 知识 时 再 学 习 即 可 。 以 下 内 容 是 我 在 “Intel® 64 and IA-32 Architectures 
Software Developer’ s Manuals" 基础 上 整理 而 来 的 。 更 多 详细 说 明 请 参考 相关 用 户 手册 。 
正文 中 使 用 的 有 关 IA-32 指令 的 图 片 均 出 自 Intel 的 用 户 手 册 。 





下 面 学 习 有 关 IA-32 指 令 格式 的 知识 。 
如 图 49-6 所 示 ，IA-32 指 令 由 6 部 分 组 成 ， 其 中 操作 码 项 是 必需 的 ， 其 他 项 目 都 是 可 选 的 。 接 
下 来 对 指令 的 各 组 成 部 分 予以 说 明 。 
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Up to four 1-, 2-, or 3 byte 1 byte Address Immediate 
prefixes of opcode (if med (if required pop d e a 


1 byte each of 1,2, 


(optiona) A DONT bytes Eer ia idea. de n 
ES 
[s [==] [== ] | see | La | Base | 


图 49-6 ”IA-32 指 令 格 式 


49.3.1 指令 前 组 


指令 前 级 (Instruction Prefixes ) 是 一 个 可 选项 目 , 后 面 出 现 特定 操作 码 时 将 补充 说 明 其 含义 。 
下 面 举 个 简单 的 例子 。 
66:81FE 4746 CMP SI,4647 
66:C703 33D2 MOV WORD PTR DS:[EBX],0D233 
F3:A4 REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI] 以 上 指令 最 前 面 的 黑体 部 分 为 前 级 

前 绥 项 大 小 为 1 个 字 节 (后面 讲 解 “指令 解析 方法 ”( 借助 操作 码 映 射 解析 ) 时 会 详细 说 明 
Prefix 66 的 含义 )。 


49.3.2 ”操作 码 


Opcode ( Operation Code， 操 作 码 ) 是 必 不 可 少 的 部 分 ， 用 来 表示 实际 的 指令 。 


66:81FE 4746 CMP SI,4647 
66:C703 33D2 MOV WORD PTR DS: [EBX] ,0D233 


F3:A4 REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI] 
8BF1 MOV ESI,ECX 

E8 04400000 CALL 00405040 

56 PUSH ESI 

E9 4A020000 JMP 00401366 

33C0 XOR EAX,EAX 

9F95C1 SETNE CL 

c3 RETN 

cc INT3 以 上 指令 黑体 部 分 为 操作 码 


操作 码 长 度 为 1~3 个 字 节 ， 我 们 在 常见 的 应 用 程序 调试 中 遇 到 的 操作 码 大 部 分 都 是 1 个 字 节 ， 
有 时 也 会 遇 到 2 个 字 节 的 操作 码 。3 个 字 节 长 度 的 操作 码 主要 用 在 MMX ( MultiMedia eXtension, 
多 媒体 扩展 ) 相关 指令 中 ,一般 很 少 有 机 会 接触 到 。 操 作 码 通常 都 带 有 操作 数 ( Operand )， 操 作 
数 种 类 有 寄存 器 、 内 存 地 址 、 常 量 ( Contanst )。 指 令 中 出 现 的 ModR/M 与 SIB 选 项 辅助 操作 码 确 
定 操作 数 。 

操作 码 种 类 很 多 ， 解 析 时 一 般 需 要 查看 Intel 用 户 手册 的 操作 码 映射 。 后 面 讲 解 “指令 解析 方 
法 ”时 会 做 一 些 解析 操作 码 的 练习 。 


49.3.3 ModR/M 


ModR/M 是 个 可 选项 ， 主 要 用 来 辅助 说 明 操作 码 的 操作 数 ( 操作 数 的 个 数 、 种 类 [寄存 器 、 地 
址 、 常 量 ] )。 
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66:81FE 4746 CMP SI,4647 
66:C703 33D2 MOV WORD PTR DS: [EBX] ,0D233 


8BF1 MOV ESI,ECX 
33C0 XOR EAX,EAX 
OF95C1 SETNE CL 以 上 指令 黑 粗 体 部 分 为 ModR/M 
ModR/M 项 拥有 1 个 字 节 ( 8 位 ) 长 度 ， 分 为 3 部 分 ， 各 部 分 含义 如 图 49-7 所 示 。 
7 65 32 0 
Reg/ 
图 49-7 ModR/M 
简单 的 ModR/M 计 算 练 习 
Exi. ModR/M - FE 


FE 的 2 进 制 表 示 = 11111110 
ModR/M 拆 分 = 11|111|110(Mod:11, Reg:111, R/M:110) 


Ex2. ModR/M = 03 


983 的 2 进 制 表示 = 00000011 
ModR/M 拆 分 = 00|000|011(Mod:00, Reg:000, R/M:011) 


49.3.4 SIB 


SIB ( Scale-Index-Base ) 也 是 一 个 可 选项 ， 用 来 辅助 说 明 ModR/M。 操 作 码 的 操作 数 为 内 存 
地 址 时 ， 需 要 与 ModR/M 项 一 起 使 用 。 


898424 50020000 MOV [ESP+250], EAX 

C68424 5C010000 00 MOV [ESP+15C], 00 ; 

8D8428 B1354000 LEA EAX, [EAX+EBP+4035B1] 

8B0C01 MOV ECX, [EAX+ECX] 以 上 指令 黑体 部 分 为 SIB 

SIB 项 也 拥有 1 个 字 节 (8 位 ) 长 度 ， 分 为 3 部 分 ， 各 部 分 含义 如 图 49-8 所 示 。 
7 65 32 0 
ee [e [ e | 
图 49-8 SIB 
* fj EA SIBI AA J 
EX. SIB = 24 


24 的 2 进 制 表示 = 00100100 
SIB 拆 分 = 00|100|100(Scale:00, Index:100, Base:100) 


Ex2. SIB = 01 
91 的 2 进 制 表示 = 00000001 
SIB 拆 分 = 00|000|001(Scale:00, Index:000, Base:001) 


49.3.5 ”位 移 
位 移 (Displacement ) 也 是 可 选项 ， 操 作 码 的 操作 数 为 内 存 地 址 时 ， 用 来 表示 位 移 操 作 。 
81B8 00004000 50450000 CMP DWORD PTR DS:[EAX+400000],4550 
C705 68CF4000 01000100 MOV DWORD PTR DS:[40CF68],10001 
833D 60CF4000 00 CMP DWORD PTR DS:[40CF60],0 


814E 0C 00800000 OR DWORD PTR DS:[ESI-«C],8000 以 上 指令 黑 粗 体 部 分 为 位 移 
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位 移 的 长 度 为 1]、2、4 字 节 。 


49.3.6 “立即 数 
立即 数 (Immediate ) 也 是 一 个 可 选项 ， 操 作 码 的 操作 数 为 常量 时 ， 该 常量 就 被 称 为 立即 数 。 


81B8 00004000 50450000 CMP DWORD PTR DS:[EAX+400000],4550 

C705 68CF4000 01000100 MOV DWORD PTR DS:[40CF68],10001 

833D 60CF4000 00 CMP DWORD PTR DS: [40CF60],0 
814E OC 00800000 OR DWORD PTR DS:[ESI«C],8000 以 上 指令 黑 粗 体 部 分 为 立即 数 


立即 数 的 长 度 为 1、2、4 字 节 。 


49.4 指令 解析 手册 
首先 制作 “指令 解析 手册 ”， 然 后 借助 该 手册 练习 指令 解析 。 


49.4.1 下 载 IA-32 用 户 手册 


Intel 公 司 提供 的 用 户 手册 对 IA-32 进 行 了 详细 说 明 。 代 码 逆向 分 析 中 会 经 常 参考 该 用 户 手册 ， 
所 以 请 从 下 面 地 址 下 载 。 

http://www.intel.com/products/processor/manuals/ 

进入 页 面 下 载 这 个 文件 。 

Intel@ 64 and IA-32 Architectures Software Developer's Manuals Volume 2A.pdf 

Intel& 64 and IA-32 Architectures Software Developer's Manuals Volume 2B.pdf 


49.4. 打印 指令 解析 手册 


下 载 Intel 用 户 手 册 后 ， 其 中 有 些 表格 是 解析 指令 时 需要 参考 的 ， 请 将 下 面 列 出 的 表格 打印 
出 来 。 


Vol. 2A 
Chapter 2 Instruction Format 
Table 2-2. 32-Bit Addressing Forms with the ModR/M Byte 
Table 2-3. 32-Bit Addressing Forms with the SIB Byte 


Vol. 2B 
Appendix A Opcode map 
A.2 Key to Abbreviations 
A.2.1 Codes for Addressing Method 
A.2.2 Codes for Operand Type 
Table A-1. Superscripts Utilized in Opcode Tables 


A.3 One, Two, Three-byte Opcode Maps 
Table A-2. One-byte Opcode Map 
Table A-3. Two-byte Opcode Map 


A.4 Opcode Extensions for One-byte and Two-byte Opcodes 
Table A-6. Opcode Extentions for One- and Two Opcodes by Group Number 


仅 打印 粗 斜 体 部 分 即 可 
打印 上 表 后 ， 下 面 通过 练习 来 学 习 使 用 操作 码 映射 、ModR/M 表 、SIB 表 等 表格 解析 指令 。 
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上 面 打印 的 资料 用 得 多 了 、 泛 黄 的 时 候 ， 各 位 也 就 成 了 解析 IA-32 指令 的 高 手 。 
我 几 年 间 一 直 使 用 一 部 自制 的 指令 手册 ， 有 人 问 有 关 指 令 解 析 的 问题 时 ， 我 就 会 翻阅 
它 并 给 出 解答 。 翻 阅 得 多 了 ， 就 有 了 感觉 ， 哪 些 内 容 在 哪 页 一 清二 楚 ， 所 以 查 起 来 非 
常 快 。 我 尊 施 的 一 位 前 华 也 有 这 样 的 参考 资料 ， 当 时 看 上 去 都 用 旧 了 。 从 某 种 意义 上 
说 ， 这 种 使 用 痕迹 就 像 一 把 测量 逆向 分 析 人 员 “ 年 轮 ” 的 尺子 。 和 希望 各 位 也 打印 一 份 
这 样 的 资料 ， 需 要 的 时 候 随 时 翻阅 查看 (参考 图 49-9 )。 





图 49-9 OpCode 用 户 手册 





49.5 ”指令 解析 练习 
我 们 从 本 节 开 始 学 习 IA-32 指 令 解析 方法 。 


49.5.1 操作 码 映 射 


首先 解析 1 条 长 度 为 1 个 字 节 的 操作 码 指令 。 
41 INC ECX 


查看 前 面 打印 出 的 操作 码 手册 ( 或 者 Intel Manual Vol.2B ) 中 的 “Table A-2. One-byte Opcode Map" .. 

解析 指令 时 ， 最 先 要 查看 表格 的 名 称 是 否 为 “Table A-2. One-byte Opcode Map:(00H-F7H)*” , 
然后 将 要 查找 的 操作 码 41 拆 分 为 4 与 1， 再 在 操作 码 映 射 中 将 它们 分 别 作 为 表格 的 行 与 列 进行 查 
找 。 从 查找 的 结果 看 ， 操 作 码 41 对 应 的 指令 为 INC， 操 作 数 为 ECX ( 同一 方 格 中 的 REX.B 是 64 位 
系统 专用 操作 数 ， 忽 略 即 可 )。 所 以 指令 41 最 终 被 解析 为 INC ECX 指 令 ， 使 用 图 49-6 中 的 IA-32 指 
令 格 式 表示 如 下 : 
[Prefixes][opcode][ModR/VM] [SIB] [Displacement] [Immediate] 

En 
图 49-10 中 INC 484-85 E4573 i64, REX 指令 的 上 标 为 064， 它 们 的 含义 在 操作 码 
用 户 手 册 的 “Table A-1. Superscripts Utilized in Opcode Tables” 中 给 出 了 讲解 。 根 据 表 
格 中 的 说 明 ，i64 表示 不 在 64 位 模式 中 使 用 ，064 表示 只 在 64 位 模式 中 使 用 。 所 以 操 
作 码 40~47 在 32 位 模式 中 作为 INC 指令 使 用 ,在 64 位 模式 (064 ) 中 用 作 REX 前 级 。 
由 于 这 里 解析 的 是 IA-32 指令 ， 所 以 应 该 解析 为 INC 指令 。 操 作 数 亦 是 如 此 ,在 32 位 
模式 中 要 选择 ECX， 在 64 位 模式 中 要 选择 REX.B。 
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Table A-2. One-byte ee Map: (00H — iiu » 





[49-10  Opcode 41 in Table A-2 








49.5.2 ”操作 数 
下 面 继续 通过 练习 来 学 习 操 作 数 的 形态 结构 。 


68 A0B44000 PUSH 0040B4A0 
使 用 前 面 的 方法 在 Table A-2 操 作 码 映射 中 查找 指令 的 第 一 个 字 节 68， 如 图 所 示 。 
从 图 49-11 中 可 以 看 到 ， 操 作 码 68 对 应 于 PUSH Iz， 为 带 有 1 个 操作 数 的 PUSH 指 令 。 
提示 一 一 一 
Table A-2 One-byte Opcode Map 内 容 繁 多 ， 在 Intel 用 户 手 册 中 占 了 不 少 分 量 ， 图 
49-11 是 其 中 一 部 分 。 


Table A-2. idiot Opcode dics (08H — FFH) * 


Ev, Gv Gb, Eb Gv, Ev 


| Gb, Eb T Gv, Ev | 
SUB 




















图 49-11 Opcode 68 in Table A-2 
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Iz 用 来 表示 操作 数 的 类 型 ， 把 握 其 含义 即 可 准确 解析 整 条 指令 。 大 写字 母 I 指 寻 址 方法 
(Addressing Method ), 小 写字 母 z 指 操作 数 类 型 ( Operand Type ), A.2.1 Codes for Addressing Method 
与 A.2.2 Codes for Operand Type 中 分 别 对 它们 进行 了 说 明 。 

常用 寻 址 方法 整理 如 表 49-2 所 示 。 


表 49-2 ”部 分 Vol.2B A.2.1. Codes for Addressing Method (Håb: Intel 官方 用 户 手 册 ) 


A ModR/M byte follows the opcode and specifies the operand. The operand is either a general-purpose register or a 
memory address. 


The reg field of the ModR/M byte selects a general register (for example, AX (000)). 

Immediate data: the operand value is encoded in subsequent bytes of the instruction. 

The instruction contains a relative offset to be added to the instruction pointer register (for example, JMP (0E9), LOOP). 
The ModR/M byte may refer only to memory (for example, BOUND, LES, LDS, LSS, LFS, LGS, CMPXCHGS$B). 
Memory addressed by the DS:rSI register pair (for example, MOVS, CMPS, OUTS, or LODS). 


Memory addressed by the ES:rDI register pair (for example, MOVS, CMPS, INS, STOS, or SCAS). 


指示 寻 址 方法 的 大 写字 母 I 代 表 Immediate ( 立即 数 )。 若 想 知 道 立即 数 的 大 小 , 还 要 参考 操作 


数 类 型 。 
常用 操作 数 类 型 整理 如 表 49-3 所 示 。 


b 
d 
v 


z 


指 


表 49-3 ”部 分 Vol.2B A.2.2. Codes for Operand Type (Håb: Intel 官 方 用 户 手册 ) 
Byte, regardless of operand-size attribute. 
Doubleword, regardless of operand-size attribute. 
Word, doubleword or quadword (in 64-bit mode), depending on operand-size attribute. 


Word for 16-bit operand-size or doubleword for 32 or 64-bit operand-size. 


示 操 作 数 类 型 的 小 写字 母 z 在 32 位 模式 下 表示 的 大 小 为 DWORD (3219, 44-56). RA 


以 上 信息 ， 操 作 码 68 对 应 的 PUSH Iz 指 令 中 ，Iz ( 操作 数 格式 ) 表示 大 小 为 4 个 字 节 (32 位 ) 的 立 


即 数 ， 


所 以 继续 读 取 68 之 后 的 4 个 字 节 ( 0040B440 )， 整 条 指令 最 终 解析 为 PUSH 0040B4A0, 用 


IA-32 指 令 格 式 表示 如 下 : 
[Prefixes][Opcode] [ModR/M] [SIB] [Displacement] [Immediate] 


以 上 只 是 解析 指令 的 “热身 ”练习 ， 下 面 正式 学 习 指令 解析 方法 。 


49.5.3 ModR/M 
首先 学 习 包 含 ModR/M 的 指令 解析 方法 。 


89C1 MOV ECX,EAX 


先 在 操作 码 映 射 中 查找 Opcode 89， 如 图 49-12 所 示 。 
从 操作 码 映射 中 可 以 看 到 ，Opcode 89 对 应 MOV EvGv 指 令 ， 带 有 2 个 操作 数 ， 第 一 个 操作 数 


的 格式 为 Ev， 第 二 个 操作 数 格式 为 Gv。 
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Table A-2. One-byte Opcode Map: (08H — FFH) * 








a5] MOV LEA 
Gb, Eb Gv, Ev mw pem 


图 49-12 Opcode 89 in Table A-2 


由 表 49-3 可 知 ， 操 作 数 类 型 中 的 小 写字 和 母 v 表 示 操 作 数 的 大 小 为 32 位 ( 4 个 字 节 )。 上 面 指令 
中 2 个 操作 数 的 大 小 均 为 4 个 字 节 。 接 下 来 需要 把 握 大 写字 母 E 与 G 代 表 的 含义 ， 这 样 才 能 准确 解 
析 整 条 指令 。 根 据 表 49-2 中 的 说 明 ， 大 写字 母 E 是 寄存 器 或 内 存 地 址 形式 的 操作 数 ， 大 写字 母 G 
只 能 是 寄存 器 形式 的 操作 数 。 操 作 数 形式 为 E 或 G 时 ， 操 作 码 后 面 一 定 存 在 ModR/M 选 项 。 

yu —=== = === n 
了 解 操作 码 后 就 能 掌握 操作 码 映射 中 的 指令 格式 ( Mnemonic、 操 作 数 个 数 、 操 作 
数 大 小 )。 若 操作 数 的 寻 址 方法 为 下 或 G, 则 分 析 操 作 码 后 面 的 ModR/M 即 可 准确 解析 
操作 数 。 





所 以 ， 整 条 指令 89C1 中 ， 紧 跟 在 Opcode 89 后 面 的 1 个 字 节 Cl1 即 为 ModR/M 选 项 。ModR/M 表 
格 是 指 操作 码 手册 中 的 Table 2-2. 32-Bit Addressing Forms with the ModR/M Byte， 如 图 49-13 所 示 。 


Forms with the ModR/M Byte 


JE 


D 
Value of ModR/M Byte (in Hexadecimal) 
20 38 


Table 2-2. 32-Bit Addressing 





2288 





——-— 00 
2298 
O 





38 


OO 


8 223822 
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[49-13 Table 2-2. 32-bit ModR/M Byte 
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图 49-13 中 的 ModR/M 表 看 上 去 比 操作 码 映 射 复杂 得 多 , 但 熟悉 原理 后 就 能 很 容易 地 掌握 其 使 
用 方法 。ModR/M 长 度 为 1 个 字 节 ， 在 图 49-13 的 ModR/M 表 中 的 [ModR/M] 区 域内 ， 从 00 开 始 到 FF 
结束 ,前 面 讲 解 ModR/M 时 提 到 过 , 它 按 比特 位 分 为 3 个 部 分 ,分 别 为 Mod、Reg、R/ML( 参考 ModR/M 
说 明 )。 下 面 以 ModR/M C1 为 例 讲解 。 


Ex) ModR/M = C1 
C1 的 二 进 制 形式 为 = 11000001 
拆 分 ModR/M = 11|000|001 (Mod:11, Reg:000, R/M:001) 


ModR/M 拆 分 后 的 各 值 在 图 49-13 中 的 Mod、REG、R/M 部 分 表示 出 来 (二进制 )。 请 各 位 在 
图 49-13 中 查找 Cl1， 分 别 确认 Mod、Reg、R/M 的 值 。 操 作 数 的 寻 址 方法 为 E 时 ， 操 作 数 的 形式 在 
图 49-13 左 侧 的 [E] 区 域 ( 图 49-13 表 的 左 侧 部 分 ) 中 显示 。 

提示 一 
寻 址 方法 “E” 代 表 内 存 地 址 或 寄存 器 。 从 图 49-13 中 可 以 看 到 ，ModR/M 值 为 
00-BF 时 ， 显 示 在 [E] 区 域 中 的 操作 数 为 内 存 地 址 ; ModR/M 值 为 CO~FF 时 ， 出 现在 [E] 
区 域 中 的 操作 数 为 寄存 器 。 


操作 数 的 寻 址 方法 为 G 时 ， 操 作 数 的 形式 出 现在 图 49-13 中 的 [G] 区 域 ( 图 49-13 的 表 上 端 
部 分 )。 

BRM 
寻 址 方法 “G” 仅 有 寄存 器 形式 ， 表 49-2 中 已 经 说 明 。 从 图 49-13 可 以 看 到 ， 根 
据 ModR/M 的 Reg 值 (000~111 )， 从 EAX 变化 到 EDI ( 操作 数 大 小 为 32 位 时 )。 


再 回来 解析 指令 89C1，Opcode 89 对 应 MOV Ev,Gv 指 令 ， 且 带 有 ModR/M 值 。ModR/M 为 C1， 
从 图 49-13 中 可 以 得 知 ，Ev=ECX，Gv=EAX。 所 以 ， 指 令 89C1 最 终 解析 为 MOV ECX,EAX。 

IA. ——————————————————— ——— 
大 写字 母 已 与 G 表 示 寻 址 方法 , 在 图 49-13 中 分 别 出 现 在 [E] 区 域 与 [G] 区 域 。 小 写 
字母 V 表 示 操 作 数 类 型 ,32 位 计算 中 操作 数 的 大 小 也 为 32 位 。 根 据 这 些 信 息 在 图 49-13 
中 查找 ModR/M 值 C1， 可 知 Ev. Gv 分 别 为 ECX、EAX。 


用 IA-32 指 令 格 式 表示 如 下 : 


[Prefixes][Opcode] [ModR/M] [SIB] [Displacement] [Immediate] 


49.5.4 Group 


Group 指令 语句 将 操作 码 与 ModR/M 组 合 起 来 ， 使 操作 码 最 多 可 以 表示 出 8 种 形式 的 指令 
( Mnemonic )。 灵 活 使 用 Group 指令 虽然 会 使 解析 变 得 有 些 复杂 ， 却 能 较 好 地 扩展 操作 码 映 射 。 
83C3 12 ADD EBX,12 

首先 在 操作 码 映射 中 查找 83 对 应 的 指令 形式 。 

从 图 49-14 可 知 ，Opcode 83 对 应 的 指令 为 Grp 1 EvIb， 带 有 2 个 操作 数 ， 形 式 分 别 为 Ev、Ib。 
由 前 面 的 讲解 可 知 ，Ev 代 表 4 个 字 节 的 寄存 器 〈 或 者 内 存 地 址 )，Ib 代 表 1 个 字 节 的 立即 数 ( 根据 
表 49-3 可 知 ， 操 作 数 类 型 的 b 代 表 字 节 大 小 )。 
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Table A-2. One-byte Opcode 
| ° P t | - 





图 49-14 Opcode 83 in Table A-2 


Rei—  ———— s EE lm— 
到 现在 为 止 , 解析 上 述 语句 时 仍 未 出 现 指令 ( Mnemonic ), 只 是 表示 成 了 Immediate 
Grp 1 的 形式 ， 即 在 多 种 形式 的 Group 中 它 是 Immediate Grp 1。1 条 操作 码 中 包含 多 种 
A, ， 根 据 后 面 的 ModR/M 可 以 最 终 确 定 相应 指令 。 前 面 图 中 ，Immediate Group 1 
的 第 二 个 操作 数 是 立即 数 。 该 Group 中 的 指令 用 来 计算 (ADD、SUB、XOR 等 ) 这 类 
立即 数 。 


操作 数 中 含有 Ev 符 号 ， 所 以 紧 跟 在 后 面 的 1 个 字 节 (C3) 为 ModR/M。 操 作 码 为 Group 指令 语 
名 时， 后 面 必须 紧 跟 ModR/M。 综 合 目前 获取 的 各 种 信息 ， 指 令 83C312 解 析 如 下 : 
83C312 - Grpl Ev, Ib 

到 现在 还 是 无 法 确切 知道 指令 (Mnemonic ) 与 操作 数 的 内 容 。 分 析 ModR/M“C3” 后 即 可 
准确 解析 上 述 指令 (解析 与 顺序 无 关 ， 但 从 左 到 右 解析 起 来 会 更 简便 )。 


Ex) ModR/M = C3 
C3 的 二 进 制 形式 为 = 11000011 
折 分 ModR/M = 11|000|011 (Mod:11, Reg:000, R/M:011) 


首先 参考 Group 指令 表 查 看 对 应 指令 (Mnemonic )。Group 指 令 表 是 指 操 作 码 用 户 手 册 中 的 
Table A-6. Opcode Extentions for One- and Two Opcodes by Group Number， 如 图 49-15 所 示 。 


Table A-6. Opcode Extensions for One- and Two-byte Opcodes by Group Number * 








图 49-15  Opcode 83 in Table A-6 


图 49-15 中 操作 码 为 83, 所 以 只 看 Group 1 项 目 即 可 。 并且, 由 于 ModR/M C3 的 Reg 值 为 000( 二 
进 制 )， 所 以 对 应 的 指令 (Mnemonic ) 为 ADD。 综合 以 上 分 析 ， 指 令 83C312 解 析 如 下 : 
83C312 5. ¿ADD Ey, -Ib 

接 下 来 ， 先 确定 第 一 个 操作 数 。 在 ModR/M 表 中 查找 C3 值 。 

由 图 49-16 可 知 ，ModR/M“C3” 的 Ev 对 应 的 值 为 EBX。 
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Table 2-2, 32-Bit Addressing Forms with 


ESPISP/AH/MM4A/XMM4 
EBP/BP/CH/MM5/XMM5 
ESI/SUDH/MMG/XMM6G 
EDI/D/BH/MM7/XMM7 





图 49-16 ModR/M "C3" in Table 2-2 
提示 —— MÀ 
从 图 49-14 可 知 ， 第 一 个 操作 数 的 格式 为 Ev。 在 图 49-13, B] 49-16 的 [E] 区 域 中 
查找 寻 址 方法 符号 下 对 应 的 值 ， 有 EBX、BX、BL 这 3 种， 再 加 上 操作 数 类 型 符号 是 
小 写字 母 v， 所 以 最 终 选 择 4 个 字 节 的 EBX 寄存 器 ( 该 处 的 巨 只 能 为 通用 寄存 器 ， 不 
可 能 为 MM3 5 XMM3 寄存 器 )。 也 不 可 以 选择 [G] 区 域 中 的 EAX 值 ，[G] 区 域 要 在 寻 
址 方法 符号 为 G 时 使 用 。ModR/M 表 比 较 复杂 ， 必 须 准 确 理解 其 使 用 方法 。 


至 此 ， 指 令 83C312 解 析 如 下 : 
83C312 - ADD EBX, Ib 


第 二 个 操作 数 的 符号 为 Ib ,表示 1 个 字 节 大 小 的 立即 数 ,直接 读 取 ModR/M 后 面 的 1 个 字 节 ( 12 ) 
即 可 。 综 上 所 述 ， 指 令 83C312 最 终 解析 为 如 下 形式 : 
83C312 - ADD. EBX, 12 


用 IA-32 指 令 格式 表示 如 下 : 
[Prefixes][Opcode] [ModR/M] [SIB] [Displacement] [Immediate] 


49.5.5 RB 


本 小 节 介 绍 含 Prefix ( 前缀 ) 的 指令 解析 方法 。 有 些 前 缀 (66,67 ) 对 整 条 指令 的 解析 有 着 重 
要 影响 ， 所 以 必须 掌握 。 
66:81FE 3412 CMP SI,1234 

首先 在 Table A-2 Opcode Map 中 查找 “66”。 

由 图 49-17 可 知 ,“66” 表示 操作 数 大 小 (前 组 )。 更 准确 地 说 , 它 表示 的 是 Operand-Size Override 
Prefix, Prefix 66 的 含义 为 “将 32 位 大 小 的 操作 数 识别 为 16 位 大 小 (或 者 将 16 位 大 小 的 操作 数 识别 
为 32 位 大 小 )”。 紧 接 在 Prefix 66 后 面 的 1 个 字 节 81 为 操作 码 ， 在 操作 码 映射 中 查找 “81”， 如 图 
49-18 所 示 。 
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Table A-2. One-byte Opcode Map: (00H — F7H) * 
L. ] o | * | 2.1.3 | w« |I 5 [| EE L —*. | 


af S HAT, 
pem 














图 49-17  Prefix 66 in Table A-2 


Table A-2. One-byte Opcode 





图 49-18 Opcode 81 in Table A-2 


Opcode 81 为 Group 指令 ， 带 有 2 个 操作 数 (Ev，Iz )。 符 号 Ev 一 般 表 示 32 位 的 寄存 器 (或 内 存 
地 址 )， 而 符号 Iv 表 示 32 位 立即 数 ( 参考 操作 码 用 户 手 册 A.2.1 & A.2.2 )。 但 因 前 面 有 Operand-Size 
Override Prefix 66， 故 操作 数 的 大 小 分 别 由 32 位 变 为 16 位 。 操 作 数 格式 中 出 现 符号 E， 则 表示 后 面 
跟 有 ModR/M 字 节 (FE )。 综 合 以 上 分 析 ， 指 令 6681FE3412 解 析 如 下 ( 请 注意 : Prefix 66 使 操作 
数 大 小 变 为 16 位 ): 
6681FE 3412 - Grpl Ev, Iz (Operand Size = 16 bit) 

要 想得到 准确 指令 与 操作 数 ， 还 要 分 析 ModR/M 值 FE 代表 的 含义 。 


Ex) ModR/M = FE 
FE 的 二 进 制 表示 = 11111110 
折 分 ModR/M = 11|111|110 (Mod:11, Reg:111, R/M:110) 


接着 在 Table A-6 中 查看 Group 指令 ， 确定 其 代表 的 具体 指令 ， 如 图 49-19 所 示 。 


Table A-6. Opcode Extensions for ope and Two- xd Ceo by Group Number * 








图 49-19 Opcode 81 in Table A-6 
由 图 49-19 中 的 Group 表 可 知 ，Opcode 81 ( Group 1) 中 ，ModR/M 的 REG ( (E2111 ) 对 应 的 
实际 指令 为 CMP。 
6681FE 3412 - CMP Ev, Iz (Operand Size = 16 bit) 


接 下 来 开始 确定 第 一 个 操作 数 。 在 ModR/M 表 格 中 查找 “FE”， 如 图 49-20 所 示 。 
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Table 2-2, 32-Bit Addressing Forms with the ModR/M Byte 





图 49-20 ModR/M FE in Table 2-2 


从 图 49-20 中 可 以 看 到 ，ModR/M “FE” 的 Ev 符 号 对 应 值 为 ESI， 但 是 受 Prefix 66 的 限制 ， 要 
选择 16 位 的 SI。 
6681FE 3412 - CMP SI, Iz (Operand Size = 16 bit) 

第 二 个 操作 数 的 符号 为 Iz， 原 指 4 个 字 节 (32 位 ) 的 立即 数值 ， 但 受 Prefix 66 的 影响 ， 其 变 为 
2 个 字 节 (1602) 大 小 ， 即 获取 ModR/M 后 面 的 2 个 字 节 ( 1234 )。 所 以 整 条 指令 最 终 解 析 如 下 : 
6681FE 3412 - CMP SI, 1234 

用 IA-32 指 令 格式 表示 如 下 : 


[Prefixes][Opcode] [ModR/M][SIB][Displacement][Immediate] 


49.5.6 Xr hWRTERS 


本 小 节 学 习 操 作 码 为 双 字 节 时 的 指令 解析 方法 。 单 字 节 操作 码 不 够 用 时 ,可 以 将 其 扩展 为 双 
字 节 。 双 字 节 操作 码 中 第 一 个 字 节 恒 为 OF, 故 其 在 操作 码 映射 中 的 查找 方式 与 单字 节操 作 码 是 一 
样 的 。 

OF85 FAlF0800  JNZ XXXXXXXX 


先 在 单字 节操 作 码 映射 中 查找 指令 的 第 一 个 字 节 (0F )， 如 图 49-21 所 示 。 


Table A-2. One-byte Opcode Map: (08H — FFH) * 





图 49-21 Opcode OF in Table A-2 


HERTA, “0F” 为 双 字 节操 作 码 的 Escape 符 号 ， 指 示 继 续 在 Table A-3 中 查找 双 字 节操 作 
码 。 双 字 节 操作 码 映 射 ( 即 Table A-3 ) 在 Intel 用 户 手 册 中 的 分 量 是 单字 节 的 两 倍 , 如 图 49-22 所 示 。 


Table A-3. Two-byte Opcode Map: 80H — F7H (First Byte is OFH) * 





图 49-22  Opcode OF85 in Table A-3 
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从 图 49-22 的 表格 标题 可 以 看 到 ， 第 一 个 字 节 为 “0F”。 查 找 第 二 个 字 节 85， 可 以 看 到 它 对 应 
的 指令 为 JNE (JNZ )。 

Er -n 
Jcc 为 Conditional Jump (条 件 跳 转 ) 指令 ， 一 般 这 种 条 件 跳 转 指令 之 前 都 有 比较 
语句 (CMP、TEST )， 并 根据 比较 的 结果 决定 是 否 跳 转 。Jcc 指令 有 多 种 形式 ， 示 例 H 
的 0F85 被 解析 为 JNE (Jump Not Equal ) 或 JNZ ( Jump Not Zero) 指令 ( 两 条 指令 
义 相 同 )。Jcc 指令 (0F80~OF8F ) 的 操作 数 在 图 49-22 中 显示 为 “Long- Was Š 
操作 数 说 明 中 ， 一 般 Long 表 示 4 个 字 节 (32 位 )，Short 表 示 1 个 字 节 (8 位 )。 所 以 ， 
Jcc 指令 的 操作 数 为 4 字 节 大 小 的 Displacement ( 移 位 值 )。 





由 于 JNE 指 令 的 操作 数 为 4 个 字 节 大 小 的 移 位 值 ， 继 续 读 取 操 作 码 后 面 的 4 个 字 节 
(00001FFA )， 整 条 指令 解析 如 下 : 
QF85 FAIF0000 - JNE XXXXXXXX 
用 IA-32 指 令 格 式 表 示 如 下 : 
[Prefixes][Opcode] [ModR/M] [SIB] [Displacement] [Immediate] 
Erna = CE 
以 上 指令 中 的 移 位 值 00001FFA 为 相对 位 移 , 加 上 当前 的 EIP pr 
址 。 比 如 ， 上 述 指令 的 地 址 为 401000， 执 行 指令 后 ，EIP 4& Xj 401006 (增加 6 个 字 
( 指令 长 度 ))， 那 么 实际 跳 转 的 地 址 为 403000 (JNE 403000 )， 它 是 EIP 值 “3036682 
与 移 位 值 ( 1FFA ) 相 加 的 结果 。 调 试 中 会 经 常 遇 到 “相对 位 移 ” 这 一 术语 ， 和 希望 各 位 
理解 其 含义 。 


49.5.7” 移 位 值 & 立 即 数 
若 指 令 中 同时 存在 移 位 值 & 立 即 数 ， 该 如 何 解析 呢 ? 下 面 学 习 这 种 指令 的 解析 方法 。 


C705 00CF4090 01000100 MOV DWORD PTR DS:[40CF90], 10001 
首先 在 操作 码 映射 中 查找 “C7”， 如 图 49-33 所 示 。 


Table A-2. One-byte Opcode Map: (00H — F7H) * 
L do [oT Lo or [| $ | 4 |. 5 CL o T 





图 49-23  Opcode C7 in Table A-2 
Opcode C7 对 应 Group 11 MOV 指 令 ， 带 有 2 个 操作 数 (EvIz )。 所 以 上 述 指令 解析 如 下 : 
C705 00CF4000 01000100 - Grpll Ev, Iz 


出 现 Group 指 令 或 操作 数 形式 中 有 E、G 时 ， 操 作 码 之 后 必 跟 着 ModR/M 选 项 ， 上 述 指令 中 
ModR/M 的 值 为 05。 


Bairi ModR/M = 05 
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05 的 二 进 制 形式 = 00000101 
拆 分 ModR/M = 00|000|101 (Mod:00, Reg:000, R/M:101) 


接着 在 Group 指令 表 (Table A-6 ) 中 查找 其 对 应 的 实际 指令 (Mnemonic )， 如 图 49-24 所 示 。 


Table A-6. Opcode Extensions for One- and Two-byte Op: 





图 49-24  Opcode C7 in Table A-6 


Group 11 中 ModR/M 的 Reg 值 ( 000 ) 对 应 的 指令 为 MOV， 且 在 Group Lumen 一 个 MOV 指 令 
( 故 图 49-23 中 出 现 了 “Group11l - MOV” 的 标识 )。 


C705 00CF4000 01000100 - MOV Ev, Iz 


接 下 来 确定 第 一 个 操作 数 (Ev), TEModR/M-XK ( Table2-2) 中 查找 “05”， 如 图 49-25 所 示 。 


Table 2-2. 32-Bit Addressing Forms with the N 
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图 49-25 | ModR/M 05 in Table 2-2 


第 一 个 操作 数 (Ev) 为 “disp32"”， 代 表 32 位 大 小 的 移 位 值 。ModR/M 在 00~BF 范 围 内 时 ，Ev 
形式 的 操作 数 表 示 内 存 地 址 ( ModR/M 在 CO0~FF 范 围 内 时 ，Ev 形 式 的 操作 数 表示 寄存 器 )。 所 以 ， 
ModR/M 之 后 的 4 个 字 节 ( 0040CF00 ) 为 移 位 值 , 表示 内 存 地 址 ( 表示 地 址 时 一 定 要 用 上 [] 中 括号 )。 
C705 00CF4000 01000100 - MOV [0040CF00], Iz 

， 第 二 个 操作 数 Iz 为 4 个 字 节 大 小 的 立即 数 ， 从 移 位 值 之 后 读 取 4 个 字 节 〈00010001 ) 
C705 00CF4000 01000100 - MOV [0040CF00], 10001 

上 述 指令 表示 向 40CF00 地 址 中 放 入 10001 值 ， 使 用 IA-32 指 令 格式 表示 如 下 : 

[Prefixes][Opcode] [ModR/M] [SIB] [Displacement] [Immediate] 


49.5.8 SIB 
操作 数 指向 内 存 地 址 时 ，SIB (Scale, Index, Base) 用 来 辅助 寻 址 。 指 令 中 含有 SIB 时 ， 其 
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本 身 会 变 得 较为 复杂 。 换 言 之 ， 如 果 掌 握 了 含有 SIB 的 指令 解析 方法 ， 你 就 达到 了 大 师 级 别 。 
8B9C91 MOV ECX, [EAX+ECX] 


首先 在 操作 码 映 射 中 查找 “8B”， 如 图 49-26 所 示 。 


Table A-2. One-byte Opcode I 








pup. mm. um] 


图 49-26 | Opcode 8B in Table A-2 


由 图 49-26 可 知 ，Opcode 8B 对 应 的 指令 为 MOV Gv,Ev， 带 有 2 个 操作 数 ， 第 一 个 操作 数 为 Gv 
ÉR, 是 一 个 4 字 节 的 寄存 器 ; 第 二 个 操作 数 为 Ev 形式 , 是 一 个 4 字 节 的 寄存 器 或 内 存 地 址 。 操 作 
数 的 寻 址 方法 为 G、E 时 , 操作 码 后 会 跟着 ModR/M 选 项 。 解析 出 该 ModR/M 即 可 准确 解析 操作 数 。 
上 述 指令 中 ModR/M 为 0C， 在 ModR/M 表 中 查找 ， 如 图 49-27 所 示 。 

第 一 个 操作 数 Gv 对 应 的 值 为 ECX， 第 二 个 操作 数 Ev 对 应 的 值 为 [--][--]。 符 号 [--][--] 表 示 需 要 
SIB 字 节 来 辅助 表示 准确 地 址 。 综 合 以 上 分 析 ， 上 述 指 令 解 析 如 下 : 
8B0COl - MOV ECX, [--][--] 

第 二 个 操作 数 的 符号 [--][--] 指 向 内 存 地 址 ， 要 准确 解析 它 需 要 用 到 SIB 字 节 ， 用 更 直观 的 方 
式 表 示 如 下 : 


[--][--] = [(Reg. A) + (Reg. B)] 
* 等 存 器 A、B 二 者 可 缺 其 一 | 


重 写 上 述 指 令 如 下 : 
8B0C01 - MOV ECX, [(Reg. A) + (Reg. B)] 





Table 2-2. 32-Bit Addressing Forms with the M 





图 49-27 | ModR/M 0C in Table 2-2 


这 种 表示 方法 更 加 直观 。 接 下 来 在 SIB 表 中 查找 Reg.A 与 Reg.B， 如 图 49-28 所 示 。 
前 面 的 指令 中 ，SIB 的 值 为 01，SIB 表 就 是 操作 码 用 户 手册 中 的 Table 2-3。 
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Table 2-3. 32-Bit — l Forms with the SIB Byte 
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图 49-28 Table 2-3. 32-bit SIB Byte 


查看 SIB 表 的 方法 与 查看 ModR/M 表 的 方法 类 似 , 先 找到 SIB 值 , 然后 在 表 顶 部 的 [Reg.A] 区 域 
获取 Reg.A 寄 存 器 ， 然 后 在 表 左 侧 的 [Reg.B] 区 域 获取 Reg.B 寄 存 器 。 图 49-28 中 与 SIB 01 对 应 的 
Reg.A 为 ECX，Reg.B 为 EAX。 所 以 指令 最 终 解析 如 下 : 
8B0C91 - MOV ECX, [ECX+EAX] 

用 IA-32 指 令 格式 表示 如 下 : 

[Prefixes][Opcode] [ModR/M] [SIB] [Displacement] [Immediate] 

操作 数 为 〈 复杂 形式 的 ) 内 存 地 址 时 ，SIB 就 像 这 样 用 来 辅助 寻 址 。 接 下 来 解析 一 条 带 有 更 
复杂 的 SIB 选 项 的 指令 
8D8428 B1354000 LEA EAX， [EAX+EBP+4035B1] 

如 图 49-29 所 示 ，Opcode 8D 对 应 的 指令 为 LEA Gv,M。 


Table A-2. One-byte Opcode Map: (08H — FFH) * 


MOV 


Eb, Gb L Ev, Gv Gb, Eb Gv, Ev 


图 49-29 Opcode 8D in Table A-2 


LEA 指 令 是 “Load Effective Address” 的 缩写 ， 是 “ 取 有 效 地 址 指令 "。 第 一 个 操作 数 为 Gv 
形式 ， 是 4 个 字 节 大 小 的 寄存 器 ; 第 二 个 操作 数 为 M 形 式 ， 仅 表示 内 存 地 址 ( 参考 表 49-2 )。 


8D8428 B1354000 - LEA Gv, M 
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由 于 操作 数 的 寻 址 方法 为 G、M， 所 以 操作 码 后 面 跟 着 ModR/M 字 节 , 分 析 后 面 的 ModR/M 即 
可 得 到 准确 的 操作 数值 。 上 述 指令 中 ModR/M 值 为 834， 在 Table 2-2 中 查找 它 ， 如 图 49-30 所 示 。 

第 一 个 操作 数 Gv 形式 为 EAX， 第 二 个 操作 数 M 形 式 为 [--][--]t+disp32。 

提示 —=—— F ut 
各 位 现在 已 经 非常 熟悉 ModR/M 表格 了 吧 ? 在 表格 上 端 求 G 形式 的 值 ， 在 表格 左 
MR EX MEAE 


综合 以 上 分 析 ， 上 述 指令 解析 如 下 : 
8D8428 B1354000 - LEA EAX, [--][--]+disp32 

第 二 个 操作 数 中 的 [--][--]+disp32 指 的 是 内 存 地 址 ， 要 想 准 确 解析 ， 需 要 使 用 后 面 的 SIB 字 节 
与 32 位 的 移 位 值 。 使 用 更 直观 的 方式 表示 [--][--]+disp32 如 下 : 


[--][--]+disp32 = [(Reg. A) + (Reg. B) + disp32] 
* FAZA, BAZ THH! 

















图 49-30 ModR/M 84 in Table 2-2 
用 更 直观 的 方式 解析 上 述 指令 。 
8D8428 B1354000 - LEA EAX, [(Reg. A)+(Reg. B) + disp32] 


接 下 来 查看 SIB 表 以 获取 Reg.A 与 Reg.B 对 应 的 值 。 因 SIB 为 28, 故 Reg.A 为 EAX, Reg.B 为 EBP 
(参考 图 49-31 )。 






Table 2-3. 32-Bit Addressing Forms with 
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fin binary) Base = mo [on 
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图 49-31 SIB 28 in Table 2-3 


上 述 指令 中 disp32 的 值 为 SIB 后 的 004035B1。 综 合 以 上 所 有 分 析 ， 整 条 指令 最 终 解析 如 下 : 
8D8428 B1354000 - LEA EAX, [EAX+EBP+4035B1] 
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用 IA-32 指 令 格式 表示 如 下 : 
[Prefixes] [Opcode] [ModR/M] [SIB] [Displacement] [Immediate] 


49.6 ”指令 解析 课外 练习 


若 想 完全 掌握 指令 解析 方法 ， 需要 大 量 练习 。 反复 看 前 面 的 练习 示例 ,熟悉 解析 方法 后 ,在 
OllyDbg 调 试 器 中 打开 并 运行 notepad.exe 程 序 ， 如 图 49-32 所 示 。 









| eeF63698| . 68 AG37F688 
ssF63695| . E8 72040000 
08F63690| . 33DB 
|eareseoc| . 8950 Es 
|eereseor| . 895D FC 
j|ssróas6n2| . 8D45 98 05000080 


. 58 0680ppD8 

- FF15 FC18F608 

* TAE FO FEFFFFEF 88F63689 notepad. 

. C745 FC 81000008 ES 002B 32bit MF 

. 64:A1 18000088 CS 0823 32bit (i 
SS 0828 32bit 8(F 
DS 0828 32bit 8(F 
FS 8853 32bit 7EF 
ES 8828 32bit e(Fr[) 


8B70 04 
. BF 5CC2F600 





| S + 

| 00F63053-00F63853 

| EFL 88088256 (NO,NB,E,B| 
l — — lis — 
[m [Hex « 


8813FD9C 
| m3 68 58 68,08 37 F6 BD EB 72 84 88 
|80r63699|00 33 DB 89 5D Es 89 SD 8D AS 98 50 FF 15 Fc| I| 0813FDA} 
x C7 45 FC 01 G8 8B 
BF 5C C2 F6 88 68 





图 49-32 ”通过 OllyDbg 做 指令 解析 练习 


参考 前 面 打 印 出 的 操作 码 用 户 手 册 ， 将 区 域 [1] 中 的 指令 逐条 解析 为 反 汇编 代码 ( 请 先 隐 藏 
OllyDbg 调 试 器 中 的 反 汇 编 窗口 )。 指 令 解析 的 成 功率 达到 99% 以 上 后 , 再 看 区 域 [2] 中 的 机 器 代码 ， 
将 它们 解析 为 反 汇 编 代 码 。 通 过 这 些 训练 ， 各 位 会 迅速 成 长 为 IJA-32 指 令 解 析 高 手 。 


49.7 ”小结 


本 章 主 要 讲解 IA-32 指 令 的 解析 方法 ， 刚 接触 它 的 读者 朋友 可 能 会 觉得 有 些 难度 。 但 若 完 全 
掌握 了 指令 解析 方法 ， 逆 向 技术 水 平 就 会 达到 中 级 以 上 。 

我 主要 使 用 IA-32 指 令 来 编写 查 杀 恶 意 代码 的 函数 。 检 测 变形 病毒 (Polymorphic Virus ) 时 ， 
必须 探测 出 Polymorphic 引 擎 中 产生 的 指令 类 型 ,这 时 就 需要 分 析 人 员 具 有 丰富 的 指令 知识 .此 外 ， 
了 解 指令 结构 也 有 助 于 提高 代码 调试 水 平 。 掌 握 IA-32 指 令 相 关 知 识 对 于 编写 “ 打 补 丁 ” 代 码 、 
分 析 漏 洞 Shell 代 码 都 非常 有 帮助 。 当 然 ， 掌 握 IA-32 指 令 解 析 方 法 对 于 提高 各 位 的 逆向 分 析 技 术 
水 平 也 有 相当 大 的 帮助 。 

提示 一 
以 上 内 容 仅 涉及 Intel 用 户 手 册 中 的 极 少 部 分 。 若 想 深入 学 习 有 关 IA-32 指令 的 知 
iR, 请 各 位 认真 研读 Intel® 64 and IA-32 Architectures Software Developer’ s Manuals ( 与 
指令 解析 相关 的 部 分 为 Vol. 2A-2.1. Vol.2B-Appendix A )。 
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有 经 验 的 代码 逆向 分 析 人 员 通 过 调试 能 够 轻松 把 握 程 序 的 代码 执行 流程 与 数据 结构 。 这 种 
调试 行为 使 程序 的 “秘密 ”一 览 无 遗 ， 这 显然 是 程序 开发 人 员 不 愿 看 到 的 结果 ， 所 以 发 展 出 了 
针对 程序 调试 的 “ 反 调 试 ”技术 。 代 码 闭 向 分 析 人 员 也 要 学 习 “ 反 调试 ”技术 ， 主 要 基于 以 下 2 
个 原因 : 

(1) 掌握 各 种 反 调试 技术 的 工作 原理 后 可 以 有 效 规避 。 

(2) 学 习 反 调试 技术 的 过 程 中 会 学 习 大 量 高 级 逆向 分 析 技 术 。 

本 章 将 向 各 位 介绍 一 些 具 有 代表 性 的 反 调试 技术 ,使 大 家 了 解 其 工作 原理 , 并 学 习 如 何 规避 。 


50.1 反 调 试 技术 


反 调试 技术 属于 高 级 逆向 分 析 技 术 范 畴 , 它 涵盖 了 我 们 前 面 学 过 的 各 种 技术 ,当然 也 有 一 些 
新 增 的 知识 。 各 位 可 以 通过 本 章 温 故 知 新 ， 另 外 ,， 反 调试 技术 也 在 不 断 发 展 ， 我 们 必须 坚持 学 习 
新 知识 、 新 技术 。 


50.1.1 依赖 性 


反 调 试 技术 对 调试 器 与 OS 有 着 很 强 的 依赖 性 (Dependency )。 也 就 是 说 ， 有 些 反 调试 技术 仅 
能 在 特定 版 本 OS 下 正常 工作 ， 而 且 不 同 种 类 调试 器 应 用 的 反 调 试 技术 也 略 有 不 同 。 
提示 一 一 
本 章 介绍 的 大 部 分 技术 可 以 正常 应 用 在 Windows XP SP3 (324) 5 Winodows 7 
(32 位 ) 操作 系统 下 。 调 试 某 个 应 用 了 反 调 试 技术 的 文件 时 ， 要 充分 考虑 它 对 调试 器 
和 OS 的 依赖 性 。 





50.1.2 多 种 反 调试 技术 


反 调试 技 术 多 种 多 样 ， 日新月异。 本 章 只 讲解 最 具 代 表 性 的 、 应 用 范围 最 广 的 技术 ,同时 也 
会 介绍 一 些 应 用 在 各 种 PE 保护 器 中 的 高 级 反 调试 技术 。 


50.2 ” 反 调 试 破解 技术 


反 调 试 技术 给 逆向 分 析 人 员 下 了 个 “ 套 ”"， 阻 止 他 们 调试 程序 。 而 反 调 试 破解 技术 ( Anti- 
Anti-Debugging ) 则 用 来 解除 程序 中 的 “ 套 ”, 规避 反 调 试 技术 。 简 言 之 , 反 调试 破解 技术 就 是 逆 
向 分 析 人 员 用 来 破解 反 调 试 技术 的 技术 。 

Bp ——— M —— ———— — Iur — i Áo ta 
国外 的 逆向 分 析 技 术 论坛 中 经 常 出 现 “ 反 调 试 破解 技术 ”一 词 ， 该 术语 较 长 ， 且 
语感 不 佳 ， 我 在 后 面 的 讲解 中 将 使 用 “破解 方法 " “规避 方法 ”等 词汇 。 
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50.3 反 调 试 技术 的 分 类 


反 调试 技术 多 种 多 样 ， 分 类 标准 也 五 花 八 门 。 若 分 类 得 当 ， 学 习 和 理解 就 会 非常 容易 。 我 从 
逆向 分 析 人 员 的 立场 出 发 , 根据 破解 方法 将 反 调试 技术 大 致 分 为 静态 与 动态 两 组 , 这 两 组 内 又 可 
以 细 分 出 许多 更 小 的 组 别 。 

调试 运用 了 静态 技术 的 程序 文件 时 ， 只 要 在 开始 破解 1 次 即 可 解除 全 部 反 调试 限制 。 而 运用 
动态 技术 的 程序 则 要 一 边 调试 ( 遇 到 反 调 试 代码 时 ) 一 边 破解 。 显 然 ， 破 解 应 用 了 动态 反 调试 技 
术 的 程序 要 困难 得 多 。 表 50-1 对 各 组 别 相关 特征 给 出 了 详细 说 明 ， 供 各 位 参考 。 

表 50-1 ”根据 破解 方法 对 反 调 试 技术 分 类 


难度 中 、 低 高 
实现 原理 灵活 运用 各 种 系统 信息 反 向 利用 调试 器 的 工作 原理 
目的 检测 调试 器 隐藏 内 部 代码 与 数据 
破解 时 间 点 调试 开始 时 调试 过 程 中 
破解 次 数 1 次 随时 
破解 方法 API 钓 取 ， 调 试 器 插件 API 钓 取 、 调 试 器 插件 、 实 用 工具 
上 有 具有 代表 性 的 技术 PEB Using SEH 
BeingDebugged (IsDebuggerPresent()) Exceptions 
Ldr CloseHandle() 
Heap(Flags, Force Flags) Break Points 
NtGlobalFlag INT3 (CC) 
TEB INT 3 (CD 03) 
StaticUnicodeString INTI (F1) 
Using Native API INT 2D (CD 2D) 
NtQuerylInformationProcess() SetUnhandledExceptionFilter() 
ProcessDebugPort(0x7) Timing Check 
(CheckRemoteDebuggerPresent()) RDTSC 
ProcessDebugObjectHandle(O0x 1 E) QueryPerformanceCount() 
ProcessDebugFlags(O0x1F) GetTickCount() 
NtQuerySystemlInformation() timeGetTime() 
SystemKernelDebuggerInformation  ftime() 
(0x23) Single Step 
NtQueryObject() Trap Flag 
Attack Debugger PUSHFD/POPFD 
Detatch Debugger INT2D 
NtSetInformationThread() Patching Detection 
ThreadHideFromDebugger(0x11) 0xCC Scanning 
BlockInput() Calc Checksum (Hash) 
OpenProcess Stack Segment Register 
SeDebugPrivilege Anti-Disassembly 
TLS Calllback Function PE Image Switching 


Using Normal API 
Parent Process 


Self-Execution 
Debug Blocker (Self-Debugging) 


Window Name Nanomite 

Process Name Obfuscated Code 

File Name Code Permutation 
Register Encryption/Decryption 
Resource Stolen Bytes 

String in Process Virtual Memory API Redirection 
Kernel Mode Driver Guard Page 


System Environment 

Targeting 
OutputDebugsString ( ) 
Memory Break Point 
Filename Format String 
ESI Value 


Virtual Machine (自己 实现 ) 


(Guard Page - Memory Break Point) 
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50.3.1 静态 反 调试 技术 


静态 反 调 试 技术 主要 用 来 探测 调试 器 若 探测 到 ,， 则 使 程序 无 法 正常 运行 。 所 以 在 调试 器 中 
打开 应 用 了 项 态 反 调试 技术 的 文件 时 ， 文 件 将 无 法 正常 运行 (RUN )。 但 破解 了 文件 中 应 用 的 静 
态 反 调试 技术 后 ， 调 试 器 就 可 以 正常 运行 该 程序 文件 了 (参考 图 50-1 )。 





图 50-1 静态 反 调试 技术 


50.3.2 ”动态 反 调试 技术 


破解 了 程序 文件 的 静态 反 调试 技术 后 ， 并 不 能 解决 所 有 问题 。 若 想 了 解 程序 的 工作 原理 ,还 
需要 借助 调试 器 中 的 跟踪 技术 来 掌握 程序 代码 与 数据 。 但 如 果 程 序 文件 中 应 用 了 动态 反 调试 技 
R, 则 很 难 再 使 用 调试 器 中 的 跟踪 技术 ， 因 为 动态 反 调 试 技术 会 扰乱 调试 器 跟踪 的 功能 ,使 我 们 
无 法 查看 程序 中 的 代码 与 数据 ( 参考 图 50-2 )。 


malp thread, module tes — 








ADD BYTE PTR DS: [EAX], AL 
[ADD ESP, -+ 


RETN 

ADD EAX, EBP 
TN 

HOU ECX, TRER 


图 50-2 ”动态 反 调 试 技术 


调试 器 中 运行 与 跟踪 的 不 同 —— 一 

调试 器 中 ， 运 行 命令 用 来 运行 被 调试 进程 ， 而 跟踪 命令 则 用 来 逐条 运行 被 调试 者 
内 部 指令 ， 并 允许 用 户 实时 查看 寄存 器 、 内 存 ( 栈 ) 等 。 跟 踪 类 似 于 逐 行 调试 ， 跟 踪 
过 程 中 ， 调 试 器 与 被 调试 进程 相互 往来 大 量 调试 事件 。 动 态 反 调试 技术 就 巧妙 运用 这 
些 事件 与 调试 器 的 工作 原理 来 实现 反 调 试 。 | 


后 面 会 详细 讲解 各 组 别 中 具有 代表 性 的 一 些 技术 。 
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本 章 我 们 将 学 习 静 态 组 别 中 的 反 调 试 技术 , 了解 各 技术 的 工作 原理 ,并 学 习 相 应 的 破解 之 法 。 


51.1 静态 反 调试 的 目的 


被 调试 进程 用 静态 反 调试 技术 来 侦 测 自身 是 否 处 于 被 调试 状态 ， 若 侦 测 到 处 于 被 调试 状态 
则 执行 非常 规 代 码 ( 主要 是 终止 代码 ) 来 阻止 。 具体 的 实现 方法 包括 调试 器 检测 方法 、 调试 环境 
检测 方法 、 强 制 隔离 调试 器 的 方法 等 等 。 反 调试 破解 方法 主要 用 来 从 探测 代码 获取 信息 ， 然 后 修 
改 信息 本 身 使 反 调试 技术 失效 。 

可 
许多 静态 反 调试 技术 对 OS 有 较 强 依赖 性 。 这 意味 着 静态 反 调 试 技术 在 Windows 
XP 系统 下 可 以 正常 使 用 ， 而 在 Windows Vista/7 操作 系统 中 可 能 失效 。 本 章 所 有 练习 
示例 在 Windows XP 中 顺利 通过 测试 。 





51.2 PEB 


利用 PEB 结 吉 构 体 信 息 可 以 判断 当前 进程 是 否 处 于 被 调试 状态 。 这 些 信息 值得 信赖 、 使 用 方便 ， 
所 以 广泛 应 用 于 反 调 试 技术 。 


代码 51-1 PEB 结 构 体 : 


+0x000 InheritedAddressSpace : UChar 
+0x001 ReadlImageFileExecOptions : UChar 


40x002 BeingDebugged : UChar 

+0x003 SpareBool : UChar 

+0x004 Mutant : Ptr32 Void 

40x008 ImageBaseAddress : Ptr32 Void 

+0x00c Ldr : Ptr32 PEB LDR DATA 

+0x010 ProcessParameters : Ptr32 RTL USER PROCESS PARAMETERS 
*0x014 SubSystemData : Ptr32 Void 

*0x018 ProcessHeap : Ptr32 Void 

*0x01c FastPebLock : Ptr32 RTL CRITICAL SECTION 


40x020 FastPebLockRoutine : Ptr32 Void 
40x024 FastPebUnlockRoutine : Ptr32 Void 
40x028 EnvironmentUpdateCount : Uint4B 
*0x02c KernelCallbackTable : Ptr32 Void 


+0x030 SystemReserved : [1] Uint4B 

+0x034 AtlThunkSListPtr32 : Uint4B 

+0x038 FreeList : Ptr32 PEB FREE BLOCK 
-0x03c TlsExpansionCounter : Uint4B 

+0x040 TlsBitmap : Ptr32 Void 

*0x044 TlsBitmapBits : [2] Uint4B 


+0x04c ReadOnlySharedMemoryBase : Ptr32 Void 
*0x050 ReadOnlySharedMemoryHeap : Ptr32 Void 
-0x054 ReadOnlyStaticServerData : Ptr32 Ptr32 Void 
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+0x058 AnsiCodePageData : Ptr32 Void 

+0x05c OemCodePageData : Ptr32 Void 

-0x060 UnicodeCaseTableData : Ptr32 Void 
-0x064 NumberOfProcessors : Uint4B 

+0x068 NtGlobalFlag : Uint4B 

-0x070 CriticalSectionTimeout : LARGE INTEGER 
-0x078 HeapSegmentReserve : Uint4B 

*0x07c HeapSegmentCommit : Uint4B 

+0x080 HeapDeCommitTotalFreeThreshold : Uint4B 
+0x084 HeapDeCommitFreeBlockThreshold : Uint4B 


+0x088 NumberOfHeaps : Uint4B 
+0x08c MaximumNumberOfHeaps : Uint4B 
+0x090 ProcessHeaps : Ptra2 Ptr32 Void 


+0x094 GdiSharedHandleTable : Ptr32 Void 
+0x098 ProcessStarterHelper : Ptr32 Void 
+0x09c GdiDCAttributeList : Uint4B 


+0x0a0 LoaderLock : Ptr32 Void 
+0x0a4 O0SMajorVersion : Uint4B 
+0x0a8 OSMinorVersion : Uint4B 
+0x0ac OSBuildNumber : Uint2B 
*0x0ae OSCSDVersion : Uint2B 
+0x0b0 OSPlatformId : Uint4B 
+0x0b4 ImageSubsystem : Uint4B 


+0x0b8 ImageSubsystemMajorVersion : Uint4B 
+0x0bc ImageSubsystemMinorVersion : Uint4B 
+0x0c0 ImageProcessAffinityMask : Uint4B 
+0x0c4 GdiHandleBuffer : [34] Uint4B 

+0x14c PostProcessInitRoutine : Ptr32 void 
+0x150 TlsExpansionBitmap : Ptr32 Void 

+0x154 TlsExpansionBitmapBits : [32] Uint4B 


+0x1d4 SessionId : Uint4B 

+0x1d8 AppCompatFlags :  ULARGE INTEGER 
*0x1le0 AppCompatFlagsUser : ULARGE INTEGER 
*0x1e8 pShimData . : Ptr32 Void 

*0xlec AppCompatInfo : Ptr32 Void 

+0x1f0 CSDVersion : Unicode STRING 


*0x1f8 ActivationContextData : Ptr32 Void 

+0x1fc ProcessAssemblyStorageMap : Ptr32 Void 

+0x200 SystemDefaultActivationContextData : Ptr32 Void 
+0x204 SystemAssemblyStorageMap : Ptr32 Void 

-0x208 MinimumStackCommit : Uint4B 


代码 51-1 列 出 了 Windows XP SP3 中 PEB 结 构 体 的 成 员 ， 其 中 与 反 调 试 技术 密切 相关 的 成 员 如 
代码 51-2 所 示 。 





代码 51-2 上 反 调试 技术 中 用 到 的 PEB 结 构 体 成 员 


+0x002 BeingDebugged : UChar 

40x00c Ldr : Ptr32 PEB LDR DATA 
+0x018 ProcessHeap t Ptr32 Void 

-0x068 NtGlobalFlag : Uint4B 


BeingDebugged 成 员 是 一 个 标志 ( Flag )， 用 来 表示 进程 是 否 处 于 被 调试 状态 。Ldr、 
ProcessHeap 、NtGlobalFlag 成 员 与 被 调试 进程 的 堆 内 存 特性 相关 。 
接 下 来 分 别 讲解 以 上 4 个 PEB 成 员 。 


51.2 PEB 531 


提示 = 三 一 (————————ÀMHááH————À————————M M 
借助 FS 段 寄 存 器 所 指 的 TEB 结构 体 可 轻松 获取 进程 的 PEB 结构 体 地 址 。 
TEB.ProcessEnvironmentBlock XJ ( 偏 移 为 +0x30 ) 指向 PEB 结构 体 地 址 ， 有 以 下 2 
种 方法 可 以 获取 PEB 结构 体 的 地 址 。 

(1) 直接 获取 PEB 的 地 址 

MOV EAX, DWORD PTR FS: x [0x30]; ; FS[0x30] = address of PEB 

(2) 先 获取 TEB 地 址 ， 再 通过 ProcessEnvironmentBlock 成 员 ( 4$ 22 0x30 ) 获取 
PEB 地 址 

MOV EAX, DWORD PTR FS: [0x18] ; FS[0x18] = address of TEB 

MOV EAX, DWORD PTR DS: [EAX+0x30] ; DS[EAX+0x30] = address of PEB 

第 二 种 方法 其 实 是 第 一 种 方法 的 展开 形式 , 二 者 都 通过 TEB.ProcessEnvironmentBlock 
成 员 iade PEB 结构 体 的 地 址 。 更 详细 的 说 明 请 参考 第 46、47 章 。 


51.2.1 BeingDebugged(+0x2) 


进程 处 于 调试 状态 时 ，PEB.BeingDebugged 成 员 (+0x2) 的 值 被 设置 为 1 (TRUE ); 进程 在 非 调 
试 状态 下 运行 时 ， 其 值 被 设置 为 0 ( FALSE )。 

IsDebuggerPresent() 

IsDebuggerPresent() API 获 取 PEB.BeingDebugged 的 值 来 判断 进程 是 否 处 于 被 调试 状态 。 直 
接 查 看 其 代码 可 以 更 清楚 地 理解 它 (我 的 系统 环境 中 , PEB 的 起 始 地 址 为 7FFDF000 )， 如 图 51-1 
所 示 。 


iC CPU - main thread, module kernel32 


IDU Dii è T B 
MOU EAX? DWORD P PTR DS: [EAX+39] DS: CEERX+ 391 = PEB 
RE. "` EBX,BVTE PTR DS:[EAX+2] | DS: [ERX+2] = PEB. Be ingDebugged $ 


a FF FF FF FF| 00 6 40 DG H8 IE 25 Gaj..B. 
e 8G QG on aO AA GG 1S OB GO De 9i 
G8 18 93 7C EB 10 93 7C EH Edd Be oa 70 2 
jA GG Be eo eo 66 BO 
DS 


ga . 
r 8 2B 07.60 ES 3 88 Qi MË sebes .. 
PFFDFASO p 89 a1 的 ee 15 bo pa G4 ma o8 Ga|18 eo ma E .8. .hk..0...b... 


图 $1-1 IsDebuggerPresent() APUY SPBBSSEIE 


IsDebuggerPresent() API 代 码 非 常 简 单 ， 先 获取 TEB 结 构 体 的 地 址 ( FS:[18] )， 再 通过 
TEB.ProcessEnvironmentBlock 成 员 (+0x30) 获 取 PEB 的 地 址 ， 然 后 访问 PEB.BeingDebugged 成 员 
(+0x2)。 如 图 51-1 所 示 ，PEB 的 地 址 为 7FFDF000，PEB.BeingDebugged 成 员 的 地 址 为 7TFFDF002。 
因 当 前 正 用 OllyDbg 调 试 进程 ， 故 BeingDebugged 的 值 为 ! ( TRUE). 

e 破解 之 法 

只 要 借助 OllyDbsg 调 试 器 的 编辑 功能 ， 将 PEB.BeingDebugged 的 值 修改 为 0 ( FALSE ) 即 可 。 


51.2.2 Ldr(+0xC) 
调试 进程 时 ， 其 堆 内 存 区 域 中 就 会 出 现 一 些 特殊 标识 ,表示 它 正 处 于 被 调试 状态 。 其 中 最 醒 
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目的 是 , 未 使 用 的 堆 内 存 区 域 全 部 填充 着 0xFEEEFEEE， 这 证 明正 在 调试 进程 。 利 用 这 一 特征 即 
可 判断 进程 是 否 处 于 被 调试 状态 。 


PEB.Ldr 成 员 是 一 个 指 向 PEB LDR DATA 结 构 体 的 指针 ， 而 PEB LDR_DATA 结 构 体 恰好 


是 在 堆 内 存 区 域 中 创建 的 ， 所 以 扫描 该 区 域 即 可 轻松 查找 是 否 存在 0xXFEEEFEEE 区 域 (我 的 系统 
环境 中 ，PEB 的 起 始 地 址 为 7FFDF000 )， 如 图 51-2 所 示 。 













Ø 15 00 8..... 
B BB üB 78 29 CF 77|.k???8. 
B, a8 G8 ao Ga ac aa 

O 8 BOBO Gà EF 7F| mt! ?.......... o 
e FA gE aa ea FA pa Es . .7 








a 
1 





图 51-2 PEB.Ldr 


进入 PEB.Ldr 地 址 (251EA0 )， 向 下 拖 动 滑动 条 ， 查 找 0xFEEEFEEE 区 域 ， 如 图 $1-3 所 示 。 





图 51-3” 堆 内 存 中 填充 着 0xFEEEFEEE 的 区 域 





在 堆 内 存 中 可 以 看 到 填充 着 0xFEEEFEEE 的 区 域 。 
e 破解 之 法 
只 要 将 填充 着 0xFEEEFEEE 值 的 区 域 全 部 履 写 为 NULL 即 可 。 


该 方法 仅 适 用 于 Windows XP 系统 ,而 在 Windows Vista 以 后 的 系统 中 则 无 法 使 用 。 
另外 ， 利 用 附加 功能 将 运行 中 的 进程 附加 到 调试 器 时 ， 堆 内 存 中 并 不 出 现 上 述 标识 。 





51.2.3 Process Heap(+0x18) 


PEB. Procesia iaiia FIBBAPRES TS idi fle 








440x000 P: H n i pec 


+0x008 Signature : Uint4B 
+0x00c Flags : Uint4B 
+0x010 ForceFlags : Uint4B 
+0x014 VirtualMemoryThreshold : Uint4B 
+0x018 SegmentReserve : Uint4B 
*0x01lc SegmentCommit : Uint4B 
*0x020 DeCommitFreeBlockThreshold : Uint4B 


以 上 列 出 了 HEAP 结 构 体 的 部 分 成 员 ， 进 程 处 于 被 调试 状态 时 ，Flags(+0xC) 与 Force Flags 成 


员 (+0x10) 被 设置 为 特定 值 。 


GetProcessHeap() 
PEB.ProcessHeap 成 员 (+0x18) 既 可 以 从 PEB 结 构 体 直接 获取 ， 也 可 以 通过 GetProcessHeap() 


51.2 PEB 533 





API 获 取 。 下 面 看 看 GetProcessHeap() API 的 代码 (我 的 系统 环境 中 ,PEB 的 起 始 地 址 为 7TFFDF000 )。 
GetProcessHeap() API 的 代码 基本 类 似 于 ISDebuggerPresent0 ， 按 照 TEB 一 PEB 一 
PEB.ProcessHeap 顺 序 依次 访问 。 
图 51-4 中 进程 HEAP 结 构 体 的 地 址 为 PEB.ProcessHeap=150000。 





a CPU - main thread, module kernel32 


SABDA 






DS: [ERX+381 = PEB 
DS: [EAX+18] = PEB.ProcessHeap 






X Tk Sa 
MOU ERX,DWORO PTR DS: CERX4301 
MOV EAX, DWORD PTR DS: [ERX+18] 






CS 8B49 sa 
ACSA 8B40 18 
1 C3 











a BB ƏƏ[FF FF FF FF|66 Gö 42 OO| ñQ IE 25 D0|. š 
ga g2 88| ao oo on oe loo De 9A 7C|. sa .?1 
6 33 7C| EG 16 93 m 60 88 88|.?7??0....... 

a 68 66|88 20 oA GO OA OO GG G8| 88 DO GG @9|................ 
?FFÜFG4G|ca DS SR 7C| al BB 06 eaj pa 20 6G GG|GD OB EF 7 

















图 51-4  GetProcessHeap() API 


Flags(*0xC)& Force Flags(*0x10) 
进程 正常 运行 ( 非 调试 运行 ) 时 ，Heap.Flags 成 员 (+0xC) 的 值 为 0x2 Heap.ForceFlagsJA Pi 
(+0x10) 的 值 为 0x0。 进 程 处 于 被 调试 状态 时 ， 这 些 值 也 会 随 之 改变 ( 参考 图 51-5. )。 





888:88857 
8888992870 


FF EE 
89 od 
57 91 
|88 Gà 
17 88 
|48 B6 
ga Q0 
80 a0 
80 o0 


图 51-5 HEAP.Flags & HEAP.ForceFlags 


所 以 ， 比 较 这 些 值 就 可 以 判断 进程 是 否 处 于 被 调试 状态 。 

@ 破解 之 法 

只 要 将 HEAPFlags 与 HEAPForceFlags 的 值 重新 设置 为 2 与 0 即 可 ( HEAPFlags=2 , 
HEAP.ForceFlags=0 )。 

Bp nr an, 
该 方法 仅 在 Windows XP RA PAX, Windows 7 系统 不 存在 以 上 特征 。 此 外 ,将 
运行 中 的 进程 附加 到 调试 器 时 ， 也 不 会 出 现 上 述 特征 。 


51.24 NtGlobalFlag(*0x68) 


调试 进程 时 ，PEB.NtGlobalFlag 成 员 (+0x68) 的 值 会 被 设置 为 0x70。 所 以 ,检测 该 成 员 的 值 即 
可 判断 进程 是 否 处 于 被 调试 状态 (我 的 系统 环境 中 ， pr Ta 如 图 51-6 所 示 。 
NtGlobalFlag 0x70 是 下 列 Flags 值 进行 bit OR ( 位 或 ) 运算 的 结 


FLG HEAP ENABLE TAIL CHECK (0x10) 
FLG HEAP ENABLE FREE CHECK (0x20) 
FLG HEAP VALIDATE PARAMETERS (0x40) 










ex dump 
ea aa Bl aa FF FF FF FF 00 Ga 40 00 AG 
aa a a2 aa Ga aa GB OG GB Bà 15 GO DD 
ea 18 93 7C EØ 10 93 7C 01 00 pQ QQ 70 
0G aa aa 68 G8 OB GB GB OB HA GB GO GO 
E aea 9 ga aa Ee a 
an 

















BB S8 9 E8 FI ea 28 Ba 8B0|.'7 .. 
ea aa Bl AA GA 18 Sa 0G Bá 6 66 06 18 DB BB B8|..0..b..*. 
图 51-6 PEB.NtGlobalFlag 
被 调试 进程 的 堆 内 存 中 存在 (不 同 于 非 调 试 运行 进程 的 ) 特 别 标识 , 因此 在 PEB.NtGlobalFlag 
成 员 中 添加 了 上 述 标 志 。 


e 破解 之 法 
重 设 PEB.NtGlobalFlag 值 为 0 即 可 ( PEB.NtGlobalFlag=0 )。 
提示 


将 运行 中 的 进程 附加 到 调试 器 时 ，NtGlobalFlag 的 值 不 变 





51.2.5 练习 : StaAD_PEB.exe 


下 面 调 试 示例 文件 StaAD_ PEB.exe 来 学 习 基 于 PEB 的 反 调 试 技术 ， 以 及 相应 的 破解 方法 。 在 
OllyDbg 中 按 F9 键 运行 StaAD_PEB.exe 文 件 , 如 图 51-7 所 示 , 所 有 项 都 显示 当前 进程 处 于 调 试 之 中 ， 


基于 PEB 的 反 调 试 功能 工作 正常 。 


[2 workWStaAD. PEB.exe 





图 51-7  StaAD PEB.exe 调 试 运行 


51.2.6 ”破解 之 法 
下 面 介绍 在 OllyDbg 中 破解 PEB 反 调试 技术 的 方法 。 按 Ctrl+F2 重 启 OllyDbg 后 ， 直 接 到 main0) 


函数 的 起 始 地 址 处 (401000 )。 


PEB.BeingDebugged 
跟踪 调试 代码 ， 在 401036 地 址 处 遇 到 调用 IsDebuggerPresent(O API 的 代码 ， 如 图 51-8 所 示 。 使 


用 StepInto(F7) 命 令 跟 踪 进 入 API, 出 现 图 51-1 所 示 的 代码 。 只 要 将 PEB.BeingDebugged 值 修改 为 0， 
即 可 破解 基于 BeingDebugged 检 测 的 反 调试 技术 。 


51.2 PEB 535 





















ntdll.7C9480288 





PUSH EDI 
PUSH ERX 

LER EAX, DWORD PTR SS: [EBP-19] 
MOU DWORD PTR FS:[0], EAX 

MOU DWORD PTR SS:[EBP-191,ESP 





. 50 
8843182A| . 8045 Fe 
95481820| . 64:A3 69896669 
00401933 8965 ES 
A4010 
00948103C 
98481683E 
5548193F 
88421044 



























MOU ESI,ERX 

PUSH ESI 

PUSH StafD_PE. 00409000 
CALL StaAD_PE. 00401316 


. 8BFØ 
. 56 
. 68 00904000 
E8 CD020000 






ASCII "IsDebugserPresent() = Zd*n'" 





图 51-8 ”调用 IsDebuggerPresent() API 


PEB.Ldr 
继续 调试 会 遇 到 PEB.Ldr 反 调试 代码 ， 如 图 5$1-9 所 示 。 


ISH StanD_PE. 009409048; 
USH StaAD_PE. 00409058 




















00401064 










"ntdll.dl 









pHodu te = 





























0040901069] . a 

a4Bnia6E| . FF15 0080409090 |CALL DWORD PTR DS:[4&KERNELS2. Get | Laetriodu LeHand Let 
9049198974] . 50 PUSH EAX hModule = 00000013 
88481875| . FF1S 04804000 |CALL DWORD PTR DS:[<&KERNEL32. GetP|LGetProcfddress 
G0491878| . FFDO CRLL ERX 

849167D| . 8858 30 MOU EBX, DWORD PTR DS:LERX*301 => EBX = PEB 
B8451689| . 895D De MOU DWORD PTR SS: [EBP-38],EBX 

mo4ola83| . 68 6C9D4000 PUSH StañD_PE. 80040906C ASCII "PEB.Ldrsn” 
0b8481583| . ES 89020000 CALL StaRD PE.G8401316 

GG4oiaBD| . S3C4 04 RDD ESP,4 

9090401029] . B8 FEEEFEEE MOU ERX,EEFEEEFE 

&80481895| . 8945 D4 MOV DWORD PTR SS:LEBP-2C1,ERX 

0049810998] . 8945 D8 MOU DWORD PTR SS:[EBP-28], EAX 

HG48189B| . 8945 DC MOU DWORD PTR SS: [EBP-24],EAX 

GG48189E| . 8945 EO MOU DWORD PTR SS:[LEBP-201,ERX 

@@4@10ni| . 8873 ec MOV ESI, DWORD PTR DS: [EBX+C] => [EBX+C] = PEB, Ldr 
684919R4| . C745 FC 99660651 MOU DWORD PTR SS:LEBP-41,0 

B84516RE| .. EB 03 JMP SHORT StaAD_PE. 00401080 





[51-9 PEB.Ldr 


接 下 来 简单 讲解 代码 。40107B 地 址 处 的 CALL EAX 指令 用 来 调用 ntdlLNtCurrentTeb0 API, 
40107D 地 址 处 的 MOV 指 令 用 来 将 PEB 地 址 保存 到 EBX 寄 存 器 。 地 址 401090~40109E 间 的 指令 用 来 
将 局 部 变量 ( [EBP-20]~[EBP-2C] ) 初始 化 为 EEFEEEFE 值 。 而 4010A1 地 址 处 的 MOV 指 令 用 来 将 
PEB.Ldr 地 址 存储 到 ESI 寄 存 器 。 继 续 跟 踪 到 4010C7 地 址 处 ， 如 图 $1-10 所 示 。 


08410AB EB 83 JMP SHORT StañD_PE. 00401080 
a04231880 8049 aa LER ECX, DWORD PTR ODS: LECXY 











Bae4aioBO| > BS8 180880008 MOU ERX, 18 

00401085| . 804D D4 LEA ECX, DWORD PTR SS:LEBP-2CJ 
20491688| . 8BD6 MOV EDX,ESI 

B04A10BA| .  SD9B 00000000 |LEA EBX, DWORD PTR DS: [EBX] 
B84616C8| > 83F8 04 CHP ERX,4 

BB4818C3| ., 72 1? JB SHORT StaRD PE.084018DC 










aa4810 SB3R 





MOU EDI, DWORD PTR DS: LED PEB. Ldr 











004910C9 8B JNZ SHORT StaRD PE.884018D6 
Ge4ei0CE| . 83E8 04 SUB EAX, 4 















GO4018CE| . 83C1 04 ADD ECX, 4 
B04916D1| . 83C2 04 RDD EDX, 4 

G8481804| .^ EB ER JMP SHORT StaRD PE.804010CO 

B54616D6| > 46 INC ESI 

569481507| . 8975 CC MOU DWORD PTR SS:tEBP-841,ESI 

G849160A| .~ EB D4 JMP SHORT StañD_PE. 00401080 

Ba84B10DC| > 68 1C904000 PUSH StañAD_PE. 00480901C ASCII " => Debuggingttt\n\n” 
GG4O0lGE1| . ES 20020000 CALL StaRD PE.80401316 

054916E6| . 83C4 04 RDD ESP,4 

GG4018ES| . C745 FC FEFFFFFI MOV DUORD PTR SS:LEBP-43,-2 

Ga48laFO| .~ EB 20 JMP SHORT StaRD PE.00401112 

G84818F2| . B8 O1i000008 MOU EAX, 1 

ea4giBF7| . C3 RETN 

B64816F8| . 8B65 ES MOU ESP, DWORD PTR SS: [EBP-18] 

GO48l8FB| . 63 30904000 PUSH StafD_PE. 00409030 ASCII ” => Not debugging... n^n" 
8004901100| . ES 11020000 CALL StaRD PE.00401316 


图 $1-10 ”条件 比较 语句 
地 址 4010B0~4010DA 间 的 代码 由 循环 构成 。 下 面 看 看 4010C7 地 址 处 的 CMP EDI,DWORD 


536 第 51 章 静态 反 调试 技术 


PTR DS:[ECX] 指 令 。EDI 寄 存 器 中 存储 着 从 PEB.Ldr 地 址 读 取 的 4 个 字 节 值 ，[ECX] 中 的 值 为 
EEFEEEFE (ECX 寄存 器 中 存储 着 初始 化 为 EEFEEEFE 的 数组 的 起 始 地 址 )。 也 就 是 说 ， 图 51-10 
中 的 代码 用 来 查找 PEB.Ldr 中 初始 化 为 EEFEEEFE 的 区 域 。 

该 调试 探测 技术 的 破解 之 法 是 : 先 转 到 ( 4010C5 地 址 的 ) EDX 寄 存 器 所 指 的 PEB.Ldr， 然 后 
查找 EEFEEEFE 区 域 并 用 NULL 值 覆盖 。 

选中 PEB.Ldr 下 的 整个 EEFEEEFE 区 域 , 在 OllyDbg 菜 单 栏 中 依次 选择 “Binary - Fill with 00's" 
菜单 填充 ( 如 图 51-11 所 示 )。 按 F2 键 在 4010FB 地 址 处 设置 断 点 , 然后 按 F9 运 行 即 可 安全 跳出 循环 。 






684818C?| . CMP EDI, DWORD PTR DS:[ECX] 
ge4e1o0C9 JHZ SHORT StaRD PE.884818D6 


NU  — — — —1 Backup , 
DS: LOO? SIERBI-O0D0DO2G | b 
EDI=00900028 |. Copy 


Breakpoint 
Search for 
























Binary copy 
Binary paste 







Disassemble 
Special 









Appearance 


图 51-11 Binary - Fill with 00's 菜 单 





PEB.ProcessHeap 
` ` 25 
继续 调试 ， 遇 到 图 $1-12 所 示 的 代码 。 

> 8B7B 18 MOU EDI, DWORD PTR DS: CEBX+18] EDI = PEB.ProcessHeap 

00401118 RD PTR s LEDT +C] C] z f 

50401118 56 PUSH ESI 

60401119] . 68 78904006 PUSH StañD_PE. 00409078 ASCIT "PEB.ProcessHeap.Flags = G4ZXwn'" 
00406111E] . ES F2olamea CALL StaRD PE.68401316 

00401123| . 83C4 bE ADD ESP,3 

8080401126] . 33FE a2 CMP ESI,2 

80401129] ., 74 97 JE SHORT StaRD_PE.00401132 

06040112B]; . 63 10904039 PUSH StaRD PE.GG0409D1C RSCII " => Debug3ing?t tt \n\n” 
B8401138| ., EB 05 JMP SHORT StaRD PE.88401137 

0040901132] > 68 30904082 PUSH StafD_PE. 00409030 ASCII " => Not debuaging...^n^n'" 
09401137] > ES DRB10855 CALL StaRD PE.800401316 

0049113C] . 83C4 G4 RDD ESP,4 

Ba40113F| . 8B77 18 MOV ESI, DWORD PTR DS:tEDI*101 [EDI+10] = PEB.ProcessHeap.ForceF laes 
66401142] . 56 PUSH ESI 

00401143] . 68 987D4080 PUSH StañD_PE. 00409098 ASCII "PEB.ProcessHeap.ForceFlags = OwZWXwn" 
00401148] . ES C9010090 CALL StaAD_PE. 00401316 

60401140] . 8SC4 098 ADD ESP, 

00401150] .  SSF6 TEST ESI,ESI 

00481152] ., 74 B7 JE SHORT StañD_PE. 00401158 

00401154] . 68 1C9D4a06G PUSH StaRD PE.G80489D1C ASCII " => Debugaingtt tinin” 
00401159] ., EB BS JMP SHORT StaRD PE.88481168 
















t dee 
DS: LG815080C]-50005062 
ESI=@0252081, (ASCII ” 








62 8B 80 58 7..7.. ?? 5 
90 20 oo Go| NET. 2... h.. .. 





0090150000] C8 ØO eo aa BB 01 E 
00150510 6 0O FE 68 BO 00 GA 10 Ai 


图 51-12 Flags&ForceFlags 


以 上 代码 通过 检测 PEB.ProcessHeap.Flags 与 PEB.ProcessHeap.ForceFlags 的 值 来 反 调试 。 
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401112 地 址 处 的 MOV 指 令 用 来 将 PEB.ProcessHeap 结 构 体 的 首 地 址 转移 到 EDI 寄 存 器 〈 图 $1-12 内 
存 窗口 显示 的 地 址 为 150000 )。 地 址 401115 处 的 [EDIHC] 是 PEB.ProcessHeap.Flags 值 ， 将 该 值 修 改 
为 2。 地 址 40113F 处 的 [EDI+10] 是 PEB.ProcessHeap.ForceFlags 值 ， 将 该 值 修改 为 0。 这 样 修改 就 能 
破解 基于 PEB.ProcessHeap 的 反 调试 代码 。 

PEB.NtGlobalFlag 

继续 调试 ， 遇 到 基于 PEB.NtGlobalFlag 的 反 调 试 代 码 ， 如 图 $1-13 所 示 。 









004011 
004911 





56 





58040116C| . $68 BC9D4000 PUSH StaRD_PE. 00409DBC ASCII "PEB.htGlobalFlag = 882XAn” 


0040601171 . ES Raal6apa CALL StaAD_PE. 00401316 

0084391176) . 83C4 08 ADD ESP, 3 

8040911739 . SBC6 MOU EAX,ESI 

8084981178] . 83E6 70 AND EAX, 70 

8840117E| . 3C 70 CHP AL, 78 

8084081180] ., 75 07 JNZ SHORT StañD_PE. 00401189 

0049113932 . 68 1C9D4000 PUSH StaRD_PE.00409D1C ASCII ” => Debuggingtttsnsn” 
8080491187] ., EB ØS JMP SHORT StaRD PE.8848118E 

0042911989 > 68 30904000 PUSH StaRD PE. 00409030 ASCII ” => Not debugging... n^n" 
BO4G118E| > ES 83010000 CALL StaRD_PE.00401316 











图 51-13  PEB.NtGlobalFlag 


地 址 401168 处 的 [EBX+68] 即 为 PEB.NtGlobalFlag， 将 其 值 修改 为 0 即 可 破解 反 调 试 代码 。 
提示 - IK i — MH M ——Á—— HÀ 

请 注意 : £ Windows XP 中 使 用 OllyDbg 开始 调试 程序 时 ，EBX 寄存 器 中 存储 的 
是 PEB 的 地 址 。 


51.3 NtQuerylnformationProcess() 


下 面 介绍 另外 一 种 利用 NtQueryInformationProcess0 API 探 测 调试 器 的 技术 。 通 过 NtQuery- 
InformationProcess() API 可 以 获取 各 种 与 进程 调试 相关 的 信息 ， 该 函数 定义 如 代码 51-4 所 示 。 





代码 51-4 NtQuerylnformationProcess() API 
NTSTATUS WINAPI NtQueryInformationProcess( 


bis HANDLE ProcessHandle, 
uin PROCESSINFOCLASS ProcessInformationClass, 
.. out PVOID ProcessInformation, 
|. in ULONG ProcessInformationLength, 
.. out opt PULONG ReturnLength 
); 出 处 : MSDN 


为 NtQueryInformationProcess() K X& B5 $ — A 4 *& PROCESSINFOCLASS ProcessIn- 
formationClass 指 定 特 定 值 并 调用 该 函数 ， HXGBHA 设置 到 其 第 三 个 参数 PVOID 
ProcessInformation。PROCESSINFOCLASS 是 枚 举 类 型 ， 拥 有 的 值 如 代码 51-5 所 示 。 


代码 51-5 PROCESSINFOCLASS 


enum PROCESSINFOCLASS 

{ 
ProcessBasicInformation = 0, 
ProcessQuotaLimits, 
ProcessIoCounters, 
ProcessVmCounters, 
ProcessTimes, 
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ProcessBasePriority, 

ProcessRaisePriority, 

ProcessDebugPort - 7, // 0x7 

ProcessExceptionPort, 

ProcessAccessToken, 

ProcessLdtInformation, 

ProcessLdtSize, 

ProcessDefaultHardErrorMode, 

ProcessIoPortHandlers, 

ProcessPooledUsageAndLimits, 

ProcessWorkingSetWatch, 

ProcessUserModeIOPL, 

ProcessEnableAlignmentFaultFixup, 

ProcessPriorityClass, 

ProcessWx86Information, 

ProcessHandleCount, 

ProcessAffinityMask, 

ProcessPriorityBoost, 

MaxProcessInfoClass, 

ProcessWow64Information - 26, 

ProcessImageFileName - 27, 

ProcessDebug0bjectHandle = 30, // 0x1E 

ProcessDebugFlags - 31, // 0x1F 
F 出 处 ，MSDN 


以 上 代码 中 与 调试 器 探测 有 关 的 成 员 为 ProcessDebugPort(0x7)、ProcessDebugObject-Handle 
(Ox1E). ProcessDebugFlags(O0x1F). 


51.3.1 ProcessDebugPort(0x7) 


进程 处 于 调试 状态 时 , 系统 就 会 为 它 分 配 1 个 调试 端口 ( Debug Port ); ProcessInformationClass 
参数 的 值 设 置 为 ProcessDebugPort(0x7) 时 ， 调 用 NtQueryInformationProcess() 函 数 就 能 获取 调试 端 
口 。 若 进程 处 于 非 调 试 状态 ， 则 变量 dwDebugPort 的 值 设 置 为 0; 若 进 程 处 于 调试 状态 ， 则 变量 
dwDebugPort 的 值 设置 为 0xXFFFFFFFF (参考 代码 51-6 )。 


代码 51-6 ProcessDebugPort — 

// ProcessDebugPort (0x7) 

DWORD dwDebugPort = 0; 

pNtQueryInformationProcess(GetCurrentProcess(), 
ProcessDebugPort, 
&dwDebugPort, 
sizeof(dwDebugPort), 
NULL); 

printf(“NtQueryInformationProcess(ProcessDebugPort) = 0x%X\n”, dwDebugPort); 

if( dwDebugPort != 0x0 ) printf(“ => Debugging!!!NnNn”); 

else printf(“ => Not Debugging...NnNn”); 





CheckRemoteDebuggerPresent() 

CheckRemoteDebuggerPresent() API IsDebuggerPresent() API 类 似 , 用 来 检测 进程 是 否 处 于 调 
试 状态 。CheckRemoteDebuggerPresent() 函 数 不 仅 可 以 用 来 检测 当前 进程 ， 还 可 以 用 来 检测 其 他 
进程 是 否 处 于 被 调试 状态 。 进 入 CheckRemoteDebuggerPresent() API 查 看 代码 , 可 以 看 到 其 调用 了 
NtQueryInformationProcess(ProcessDebugPorb API ( 参见 图 $1-14 )。 
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main thread, module kernel32 













7CSSRDB22 MOU EDI,EDI 
?C85AR24 ss PUSH EBP 


SBEC MOU EBP,ESP 
837D 08 00 CMP DWORD PTR SS: [EBP+8], 0 
56 PUSH ESI 

2c v 74 35 JE SHORT kernel32.7C85AA63 
SB?5 ØC MOY ESI,DWORD PTR SS:lLEBP*CJ 
S5F6 TEST ESI,ESI 

Sis 74 2E JE SHORT kernel32.7C85RR63 

6A aeo PUSH & 
6R 84 PUSH 4 ProcessDebugPort 






LER EAX, DWORD PIR 





JGE SHORT kernel32.7C85AA54 









7C85AA4C 





SB PUSH ERX 
7C3SshR4D| ES RBE9FRFF CALL kernel32.7C8893FD 
TCSSRRE2|., EB 16 JMP SHORT kernelS2.7C85RR6R 
PCSSRRS4| 33C0 XOR ERX,ERX 
TCS5RHRS6| 3945 08 CHP DWORD PTR SS: [EBP481,ERX 
?CƏSRRS3 I  eroscca SETNE ñL 
PPESSRRSC| 89806 MOU DWORD PTR DS:LESIJ,ERX 
7CƏSAASE| 33C0 XOR EAX, EAX 
7CB85RHRe8| 40 INC EAX 
7CSS5RReil|, EB 89 JMP SHORT kernel32.7C85RRéC 
7C85AA63| 6A 5? PUSH 57 
7 了 CS5RR6S| E8 DSESFRFF CALL kernel32.7C889342 
了 CSSRRER| 33C0 XOR ERX,ERX 
7CSSRRSC| SE POP ESI 
"CSSHRéD| SD POP EBP 
7 了 CSS5RREE| C2 0800 RETN 8 





图 51-14  CheckRemoteDebuggerPresent() API 内 部 代码 


51.3.2 ProcessDebugObjectHandle(0x1E) 


调试 进程 时 会 生成 调试 对 象 ( Debug Object )。 郴 数 的 第 二 个 参数 值 为 ProcessDebug- 
ObjectHandle(0x1E) 时 ， 调 用 也 数 后 通过 第 三 个 参数 就 能 获取 调试 对 象 句柄 。 进 程 处 于 调试 状态 
时 ， 调 试 对 象 句柄 的 值 就 存在 ; 若 进程 处 于 非 调试 状态 ， 则 调试 对 象 句柄 值 为 NULL。 


代码 51-7 “ProcessDebugObjectHandie 


// ProcessDebugObjectHandle (0x1E) 
HANDLE hDebugObject = NULL; 
pNtQueryInformationProcess(GetCurrentProcess(), 
ProcessDebugObjectHandle, 
&hDebug0bject, 
sizeof(hDebugObject), 
NULL); 
printf(“NtQueryInformationProcess(ProcessDebugObjectHandle) = 0x%XNn”, 
hDebugObject); 
if( hDebugObject != 0x0 ) printf(“ => Debugging! !!\n\n”); 
else printf(“ => Not Debugging. ..\n\n”); 


51.3.3 ProcessDebugFlags(0x1F) 


检测 Debug Flags ( 调试 标志 ) 的 值 也 可 以 判断 进程 是 否 处 于 被 调试 状态 。 函 数 的 第 二 个 参数 
设置 为 ProcessDebugFlags(0x1F) 时 ， 调 用 函数 后 通过 第 三 个 参数 即 可 获取 调试 标志 的 值 ， 若 为 0， 
则 进程 处 于 被 调试 状态 ; 若 为 1， 则 进程 处 于 非 调 试 状态 。 
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// ProcessDebugFlags (0x1F) 
BOOL bDebugFlag = TRUE; 
pNtQueryInformationProcess(GetCurrentProcess(), 
ProcessDebugFlags, 
&bDebugFlag, 
sizeof(bDebugFlag), 
NULL) ; 
printf("NtQueryInformationProcess(ProcessDebugFlags) = 0x%XNn”, 
bDebugFlag); 
if( bDebugFlag == 0x0 ) printf(^ => Debugging!!!NnNn”) 
else printf(“ => Not Debugging...NnNn”); 


51.3.4 练习 : StaAD_NtQIPexe 

下 面 通 过 StaAD NItQIP.exezis PFEF A3 4E F NtQueryInformationProcess() K ZI fl] JNR. ZE 
OllyDbg 调 试 器 中 运行 示例 程序 后 ， 借 助 NtQueryInformationProcess(0) 反 调试 技术 显示 “探测 到 调 
武器 ”的 信息 ， 如 图 $1-15 所 示 。 








图 $1-15 ”调试 运行 StaAD_NtQIP.exe 


51.3.5 ”破解 之 法 


要 想 破解 使 用 NtQueryInformationProcess() API 探 测 调试 器 的 技术 , 应 当 对 该 函数 在 特定 参数 
值 ( ProcessInformationClass ) 下 输出 的 值 (返回 - ProcessInformation ) 进行 操作 ( 参考 代码 51-4 )。 
特定 参数 值 是 前 面 提 过 的 ProcessDebugPort ( 0x7 ). ProcessDebugObjectHandle ( OxIE )、 
ProcessDebugFlags ( 0x1F )。 

若 只 是 调用 几 次 API， 则 可 以 在 调试 器 中 手动 操作 输出 值 。 相 反 ， 共 函数 被 反复 调用 ， 则 需 
要 使 用 API 钓 取 技 术 。 在 练习 中 我 们 将 使 用 OllyDbg 的 汇编 命令 手动 设置 钩 取代 码 。 





此 处 介绍 的 使 用 API 钓 取 破 解 反 调 试 的 方法 只 是 为 了 说 明 相 关 概 念 与 原理 。 实 际 
操作 中 直接 使 用 相应 的 调试 器 插件 ( 如 : advanced olly ) 即 可 解决 问题 。 每 次 在 插件 中 
启动 调试 时 ， 都 会 自动 钓 取 API 








首先 重新 运行 OllyDbg 调 试 器 。 
确定 钧 取 函 数 的 位 置 
使 用 DLL 注 和 技术 钓 取 API 时 ， 钧 取消 数 一 般 位 于 要 注入 的 DLL 文 件 内 部 。 为 了 操作 方便 ， 
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我 们 将 钧 取代 码 设 置 在 代码 节 区 中 的 最 后 一 个 NULL Padding 区 域 一 一 407E00 地 址 处 ， 如 图 51-16 
所 示 。 







D0407EGS 
eaau?EO? 
B487EQS 
no40'EOS 
D8467EGA 
Ga407EBB 
B0487EGC 
59407EeD 
Ba40rEGE 
B2407EGF 














图 51-16 ”代码 节 区 最 后 的 NULL Padding 区 域 


修改 原 API 代 码 
进入 原 NtQueryInformationProcess() API 代 码 ， 如 图 51-17 所 示 。 















MOU EDxX,7FFE8308 
CALL DWORD PTR DS: [ED%1 
RETH 14 


BA 6B93FE7F 
FF12 
ca 1400 







?C93D7ES 
?C93D7ER 
7CS3Q7EC 


图 51-17  JE&NtQueryInformationProcess() API 代 码 


在 该 处 设置 一 条 JMP 指 令 ， 用 来 跳 转 到 钧 取 函 数 地址 处 ( 407E00 )。 利 用 OllyDbg 的 汇编 功能 
将 7C93D7EA 地 址 处 的 代码 修改 为 JMP 00407E00 指 令 ， 如 图 $1-18 所 示 。 










MOV EDX, 7FFEØ300 
JMP StaRD Nt. 00407E06 
NOP 


BR BaasFE?F 
- E9 11A6AC83 
9a 


DES ——— 
7C93D7ER 
7C93D7EF 







图 51-18 修改 后 的 NtQueryInformationProcess() API 代 码 


该 JMP 指 令 为 5 个 字 节 , 可 以 准确 覆 写 原 代码 中 的 “CALLDWORD PTR DS:[EDX]” & “RETN 
14” 指 令 ( 位 于 地 址 7C93D7EA~7C93D7EC )。 

IE —— —— r F 
4) API 时 ， 一 般 要 在 原 API 起 始 地 址 处 设置 JMP 指令 。 以 上 面 这 种 情形 为 例 ， 
JMP 指令 要 设置 在 7C93D7E0 地 址 处 ， 但 是 我 却 将 JMP 命令 设置 在 略微 偏 下 的 地 址 处 

(7C93D7EA ), 这 是 为 了 回避 某 些 PE 保护 器 的 API 钧 取 探 测 功 能 。 这 些 PE 保护 器 会 
检测 NtQueryInformationProcess() API 起 始 地 址 的 第 一 个 字 节 ， 若 非 “B8”， 则 认为 该 
API 被 钓 取 ， 就 会 执行 某 些 非 正常 运行 的 行为 (也 算是 一 种 调试 器 探测 技术 )。 当然， 如 
果 采 用 更 精巧 的 API 钓 取 探测 技术 ， 那 么 上 面 这 种 回避 方法 就 会 失效 ， 必 须 采用 其 他 
更 好 的 方法 。 


3f 53 £4 RA ER E 

在 407E00 地 址 处 编写 钧 取 孙 数 ， 如 图 51-19 所 示 。 

地 址 407E00 处 的 CALL DWORD PTR DS:[EDXI] 指 令 与 地 址 407E3B 处 的 RETN 14 指 令 都 是 原 
NtQueryInformationProcess() API 中 的 代码 ， 钩 取代 码 就 设置 在 这 2 条 指令 之 间 。 
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图 $1-19 £N PR 


407C03 地 址 之 后 的 CMP/JNZ 指 令 组 合 类 似 于 C 语 言 中 的 switch/case 多 分 支 选 择 语句 。 
ProcessInformationClass 参 数 ( DWORD PTR SS:[ESP+C] ) 值 为 0x7、0x1E、0x1F 之 一 时 ， 则 将 
ProcessInformation 参 数 ( DWORD PTR SS:[ESP+10] ) 地 址 所 指 的 返回 值 分 别 修改 为 0、0、1。 TE 
该 状态 下 ( 在 调试 器 中 ) 运行 进程 , 即 可 破解 基于 NtQueryInformationProcess() API 的 反 调试 技术 ， 
如 图 51-20 所 示 。 


* ciWworkWStaAD_NtOIP.exe 


^vInforma 


= 和 Rx 
Mot debugs 





图 51-20 NtQuerylnformationProcess() API 被 钓 取 的 状态 


51.4 NtQuerySystemlnformation() 


下 面 介绍 基于 调试 环境 检测 的 反 调试 技术 。 
提示 
前 面 介 绍 的 反 调 试 技术 中 ， 我 们 通过 探测 调试 器 来 判断 自己 的 进程 是 否 处 于 被 调 
试 状态 ， 这 是 一 种 非常 直接 的 调试 器 探测 方法 。 除 此 之 外 ， 还 有 间接 探测 调试 器 的 方 
法 ， 借 助 该 方法 可 以 检测 调试 环境 ， 若 显露 出 调试 器 的 端倪 ， 则 立刻 停止 执行 程序 。 





运用 这 种 反 调试 技术 可 以 检测 当前 OS 是 否 在 调试 模式 下 运行 。 


OS 调试 模式 
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为 了 使 用 WinDbg 工具 调试 系统 内 核 ( Kernel Debugging )， 需 要 先 准备 2 个 系统 
(Host, Target) 并 连接 (Serial, 1394. USB. Direct Cable )。 其 中 ，Target 的 OS 以 调 
试 模式 运行 ， 连 接 到 Host 系统 的 WinDbg 上 后 即 可 调试 。 


设置 调试 模式 的 方法 


(1) Windows XP: 


[boot loader] 
timeout=30 


编辑 “Ci\boot.ini” 后 重启 


default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS 


[operating systems] 


multi(0)disk(0)rdisk(0)partition(1)NWINDOWS-"Microsoft Windows 
XP Professional" /noexecute-optin /fastdetect /debugport-coml / 


baudrate-115200 /Debug 


(2) Windows 7: 使 用 bcdedit.exe 实用 程序 


c:Nwork»bcdedit /debug on 


设置 完成 
c:Nwork»bcdedit 


Windows 启 动 管理 器 


identifier 

device 
description 
locale 

inherit 

default 
resumeobject 
displayorder 
toolsdisplayorder 
timeout 


Windows mR 3 


identifier 
device 

path 
description 
locale 

inherit 
recoverysequence 
recoveryenabled 
bootdebug 
osdevice 
systemroot 
resumeobject 

nx 

debug 


(bootmgr) 

partitionsC: 

Windows Boot Manager 

ko-KR 

(globalsettings) 

{current} 
(8cb2d9b0-7c05-11de-842e-b4611d44fefa) 
{current} 

{memdiag} 

30 


{current} 

partition=C: 
NWindowsNsystem32Nwinload.exe 

Windows 7 

ko-KR 

(bootloadersettings) 
(8cb2d9b4-7c05-11de-842e-b4611d44fefa) 
Yes 

No 

partition-C: 

\Windows 
{8cb2d9b0-7c05-11de-842e-b4611d44fefa} 
OptIn 

Yes 





ntdll!'NtQuerySystemInformation() API 是 一 个 系统 函数 ， 用 来 获取 当前 运行 的 多 种 OS 信 息 。 
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i erySysteminformation) API — ć ć 
NTSTATUS WINAPI NtQuerySystemInformation( 
zz c hil SYSTEM INFORMATION CLASS SystemInformationClass, 
. inout PVOID SystemInformation, 
dfi ULONG SystemInformationLength, 
. out opt PULONG ReturnLength 
); 出 处 : MSDN 


SYSTEM INFORMATION CLASS SystemInformationClass 参 数 中 指定 需要 的 系统 信息 类 型 ， 
将 某 结构 体 的 地 址 传递 给 PVOID SystemInformation 参 数 ，API 返 回 时 ， 该 结构 体 中 就 填充 着 相关 
= g 


Fo 


SYSTEM _ INFORMATION_CLASS 是 枚 举 类 型 ， 拥 有 的 值 如 代码 51-10 所 示 。 














typedef enum SYSTEM INFORMATION CLASS í 
SystemBasicInformation - 0, 
SystemPerformanceInformation - 2, 
SystemTimeOfDayInformation - 3, 
SystemProcessInformation - 5, 
SystemProcessorPerformanceInformation = 8, 
SystemInterruptInformation - 23, 
SystemExceptionInformation = 33, 
SystemKernelDebuggerInformation - 35, // 0x23 
SystemRegistryQuotaInformation = 37, 
SystemLookasideInformation - 45 

) SYSTEM INFORMATION CLASS; 


向 SystemInformationClass 参 数 传 人 SystemKernelDebuggerInformation 值 ( 0x23 )， 即 可 判断 出 
当前 OS 是 否 在 调试 模式 下 运行 。 


51.4.1 SystemKerneIDebuggerInformation(0x23) 
查看 实际 的 反 调 试 源 代码 即 可 轻松 掌握 其 工作 原理 。 





on(SystemKernelDebuggerinformation) 源 代码 


void MylltquerysyetemInformation) 
t 


typedef NTSTATUS (WINAPI *NTQUERYSYSTEMINFORMATION)( 
ULONG SystemInformationClass, 
PVOID SystemInformation, 
ULONG SystemInformationLength, 
PULONG ReturnLength 
); 


typedef struct SYSTEM KERNEL DEBUGGER INFORMATION 
t 
BOOLEAN DebuggerEnabled; 
BOOLEAN DebuggerNotPresent; 
) SYSTEM KERNEL DEBUGGER INFORMATION, *PSYSTEM KERNEL DEBUGGER 
INFORMATION; 


NTQUERYSYSTEMINFORMATION NtQuerySystemInformation; 
NtQuerySystemInformation = (NTQUERYSYSTEMINFORMATION) 
GetProcAddress (GetModuleHandle(L"ntdll"), 
"NtQuerySystemInformation"); 


ULONG SystemKernelDebuggerInformation = 0x23; 
ULONG ulReturnedLength - 0; 
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SYSTEM KERNEL DEBUGGER INFORMATION DebuggerInfo = {0,}; 


NtQuerySystemInformation(SystemKernelDebuggerInformation, 
(PVOID) &DebuggerInfo, 
sizeof(DebuggerInfo), // 2 个 字 节 
&ulReturnedLength); 


printf(“NtQuerySystemInformation(SystemKernelDebuggerInformation) = 
Ox%X Ox%X\n”, 
DebuggerInfo.DebuggerEnabled, DebuggerInfo. 
DebuggerNotPresent); 
if( DebuggerInfo.DebuggerEnabled ) printf(^ => Debugging!!!\n\n”); 
else printf(^ => Not Debugging...NnNn”); 


在 上 述 代 码 中 调用 NtQuerySystemInformation() API 时 , 第 一 个 参数 ( SystemInformationClass ) 
的 值 设 置 为 SystemKernelDebuggerInformation(0x23) ， 第 二 个 参数 ( SystemInformation ) 为 
SYSTEM KERNEL DEBUGGER _INFORMATION 结 构 体 的 地 址 。 当 API 返 回 时 ， 若 系统 处 在 调 
试 模式 下 ， 则 SYSTEM KERNEL DEBUGGER INFORMATION.DebuggerEnabled 的 值 设置 为 1 
(SYSTEM KERNEL DEBUGGER _INFORMATION.DebuggerNotPresent 的 值 恒 为 1 )。 


51.4.2 练习 : StaAD_NtQSI.exe 
运行 练习 示例 StaAD NtQSIexe， 如 图 $1-21 所 示 。 


c« c'WworkWStaAD NIQSI.exe 





图 51-21 在 调试 模式 下 运行 StaAD NtQSLexe 





我 的 测试 环境 启动 时 默认 处 于 调试 模式 ， 所 以 运行 示例 程序 后 显示 “探测 到 调试 环境 ”的 


514.3 ”破解 之 法 


在 Windows XP 系统 中 编辑 boot.ini 文 件 ， 删 除 “/debugport=com1 /baudrate=115200 /Debug" 
值 。 在 Windows 7 系统 的 命令 行 窗口 执行 “bcdedit/debug off” 命 令 即 可 。 并 且 ， 若 重启 系统 则 要 
以 正常 模式 ( Normal Mode ) 启动 。 


51.5 NtQueryObject() 


系统 中 的 某 个 调试 器 调试 进程 时 ， 会 创建 1 个 调试 对 象 类 型 的 内 核对 象 。 检 测 该 对 象 是 否 存 
在 即 可 判断 是 否 有 进程 正在 被 调试 。 

ntdll!INtQueryObject() API 用 来 获取 系统 各 种 内 核对 象 的 信息 ，NtQueryObject() 函数 的 定义 
HH F: 





NTSTATUS NtQueryObject( 
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__in opt HANDLE Handle, 


sein OBJECT_INFORMATION_CLASS ObjectInformationClass, 
__Out_opt PVOID ObjectInformation, 
in ULONG ObjectInformationLength, 


| out opt PULONG ReturnLength 
); Háb: MSDN 
38 用 NtQueryObjectO 函数 时 ， 先 向 第 二 个 参数 OBJECT INFORMATION CLASS 
ObjectImnformationClass 赋 予 某 个 特定 值 ， 调 用 API 后 ， 包 含 相关 信息 的 结构 体 指针 就 被 返回 第 三 
个 参数 PVOID ObjectInformation。 


OBJECT _ INFORMATION_CLASS 是 枚 举 类 型 ， 其 拥有 的 值 如 代码 51-13 所 示 。 
代码 51-13 ”OBJECT INFORMATION CLASS. 
typedef enum OBJECT INFORMATION CLASS í 

ObjectBasicInformation, 

ObjectNameInformation, 

ObjectTypeInformation, 

ObjectAllTypesInformation, 7/3 


ObjectHandleInformation 
} OBJECT INFORMATION CLASS, *POBJECT INFORMATION CLASS; 


首先 使 用 ObjectAllTypesInformation 值 获取 系统 所 有 对 象 信息 , 然后 从 中 检测 是 否 存在 调试 对 
象 。NtQueryObject() API 使 用 方法 略为 复杂 。 

NtQueryObject() API 使 用 方法 

(1) 获取 内 核对 象 信息 链表 的 大 小 
ULONG LSize = 0; 


pNtQueryObject(NULL, ObjectAllTypesInformation, &lSize, sizeof(lSize), 
&lSize); 


(2) 分 配 内 存 


void *pBuf = NULL; 
pBuf = VirtualAlloc(NULL, lSize, MEM RESERVE | MEM COMMIT, PAGE _ 
READWRITE); 


(3) 获取 内 核对 象 信息 链表 


typedef struct OBJECT TYPE INFORMATION { 
Unicode STRING TypeName; 

ULONG TotalNumberOfHandles; 

ULONG TotalNumberOfObjects; 
JOBJECT TYPE INFORMATION, *POBJECT TYPE INFORMATION; 





typedef struct OBJECT ALL INFORMATION í 
ULONG NumberOf0bjectsTypes; 
OBJECT TYPE INFORMATION ObjectTypeInformation[1]; 
) OBJECT ALL INFORMATION, *POBJECT ALL INFORMATION; 


pNtQueryObject((HANDLE)OxFFFFFFFF, ObjectAllTypesInformation, pBuf, lSize, 
NULL) ; 
POBJECT ALL INFORMATION pObjectAllInfo = (POBJECT ALL INFORMATION)pBuf; 


调用 NtQueryObject0 函数 后 ， 系 统 所 有 对 象 的 信息 代码 就 被 存 人 pBuf， 然 后 将 pBuf 转 换 
(casting) 为 POBJECT_ALL _INFORMATION 类 型 。OBJECT_ALL _ INFORMATION 结构 体 由 
OBJECT TYPE _ INFORMATION 结 构 体 数组 构成 。 实 际 内 核对 象 类 型 的 信息 就 被 存储 在 
OBJECT TYPE _INFORMATION 结 构 体 数组 中 , 通过 循环 检索 即 可 查看 是 否 存在 “调试 对 象 ” 对 
象 类 型 。 
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(4) 确定 “调试 对 象 ”对 象 类 型 
为 便于 理解 ， 请 先 看 下 面 一 段 代 码 。 





代码 51-14 NtQueryObject(ObjectAliTypelnformation) R PIRE 
void MyNtQueryObject() 
1 


typedef struct _LSA Unicode STRING í 
USHORT Length; 
USHORT MaximumLength; 
PWSTR Buffer; 
) LSA Unicode STRING, *PLSA Unicode STRING, Unicode STRING, *P Unicode 
STRING; 


typedef NTSTATUS (WINAPI *NTQUERYOBJECT) ( 
HANDLE Handle, 
OBJECT INFORMATION CLASS ObjectInformationClass, 
PVOID ObjectInformation, 
ULONG ObjectInformationLength, 
PULONG ReturnLength 
); 


#pragma pack(1) 
typedef struct OBJECT TYPE INFORMATION { 

Unicode STRING TypeName; 

ULONG TotalNumberOfHandles; 

ULONG TotalNumberOfObjects; 
JOBJECT TYPE INFORMATION, *POBJECT TYPE INFORMATION; 


typedef struct OBJECT ALL INFORMATION í 
ULONG NumberOfObjectsTypes; 
OBJECT TYPE INFORMATION ObjectTypeInformation[l]; 
) OBJECT ALL INFORMATION, *POBJECT ALL INFORMATION; 
*pragma pack() 


POBJECT ALL INFORMATION pObjectAllInfo - NULL; 
void *pBuf = NULL; 

ULONG lSize = 0; 

BOOL bDebugging = FALSE; 


NTQUERYOBJECT pNtQueryObject = (NTQUERYOBJECT) 
GetProcAddress (GetModuleHandle(L"ntd 


Todt ys 
“NtQueryObject”); 

// 输入 链表 尺寸 

pNtQueryObject(NULL, ObjectAllTypesInformation, &lSize, sizeof(lSize), 

&lSize); 
(/[/ SERA 
pBuf = VirtualAlloc(NULL, lSize, MEM RESERVE | MEM COMMIT, PAGE _ 
READWRITE); 
// 输入 实际 链表 


pNtQueryObject((HANDLE)OxFFFFFFFF, ObjectAllTypesInformation, pBuf, 
lSize, NULL); 


pObjectAllInfo = (POBJECT ALL INFORMATION)pBuf; 


UCHAR *pObjInfoLocation = (UCHAR *)pObjectAllInfo-» 
ObjectTypeInformation; 
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POBJECT TYPE INFORMATION pObjectTypeInfo = NULL; 


for( UINT i = 0; i < pObjectAllInfo->NumberOfObjectsTypes; i++ ) 
t 


pObjectTypeInfo = (POBJECT TYPE INFORMATION)pObjInfoLocation; 
if( wcscmp(L"DebugObject", pObjectTypeInfo--TypeName.Buffer) == 0 ) 
1 


bDebugging = (pObjectTypeInfo-»TotalNumberO0fObjects > 0) ? TRUE 
: FAESE; 
break; 


} 


// 计 算 下 一 个 结构 体 

pObjInfoLocation = (UCHAR*)pObjectTypeInfo->TypeName.Buffer; 
pObjInfoLocation += pObjectTypeInfo->TypeName.Length; 
pObjInfoLocation = (UCHAR*)(((ULONG)pObjInfoLocation & OxFFFFFFFC) 


+ sizeof(ULONG)) ; 
) 


if( pBuf ) 
VirtualFree(pBuf, 0, MEM RELEASE) ; 


printf("NtQueryObject(ObjectAllTypesInformation) Nn"); 
if( bDebugging ) printf(" => Debugging! !!\n\n”); 
else printf(^ => Not Debugging... NXnMn") ; 


5&3]: StaAD NtQO.exe 


在 OllyDbg 调 试 器 中 运行 示例 程序 StaAD NtQO.exe， 显 示 “ 程 序 处 于 调试 中 ” 


的 信息 ， 如 图 
51-22 所 示 。 这 是 因为 在 NtQueryObject() API 中 探测 到 了 调试 对 象 。 


cx c'WworkWStaAD_NtQO. exe 





图 $1-22 StaAD NtQO.exe 调 试 运行 
e 破解 之 法 


按 CtrltF2 键 重新 运行 OllyDbg 调 试 器 ， 在 401059 地 址 处 按 F2 键 设置 断 点 ， 然 后 按 F9 键 运行 
程序 





REFS [MOU EDI,ERX | 
EAE F [MOU EAX, DWORD PTR SS:LEBP-41 | 
PUSH EBX 

| PUSH EAX 

PUSH EDI 

| PUSH 

PUSH 1 

. 85 HOU DWORD PTR SS: LEBP-8],EDI 
VUFFOÉ lcm. ESI ^ | atari. Zuduezuabjent 
ceg MOU EAX, DWORD PTR OS: [CEDIJ 
LEA ESI, DWORD PTR DS: 5EDI+43 
MOU DWORD PTR SS:0EBP-10.ERX 











TEEFEEEEEI 777 
| eooaaoos, 


图 51-23 ”调用 ZwQueryObiectO 
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位 于 401059 地 址 处 的 CALL ESI 指 令 用 来 调用 ntdll.ZwQueryObject( API， 如 图 $1-23 所 示 。 此 
时 查看 栈 可 以 发 现 ， 第 二 个 参数 的 值 为 ObjectAllTypesInformation(3)， 将 该 值 修改 为 0 后 再 执行 
401059 地 址 处 的 指令 ， 这 样 就 无 法 探测 到 调试 器 的 存在 了 。 

当然 ， 直 接 钓 取 ntdll.ZwQueryObject() API， 输 入 ObjectAllTypesInformation(3) 值 或 操作 结果 
值 ， 也 能 不 被 探测 到 。 


51.6 ZwSetlnformationThread() 


下 面 介绍 强制 分 离 (Detach ) 被 调试 者 和 调试 器 的 技术 。 利 用 ZwSetInformationThread() API, 
被 调试 者 可 将 自身 从 调试 器 中 分 离 出 来 。 


typedef enum THREAD INFORMATION CLASS { 
ThreadBasicInformation, 
ThreadTimes, 
ThreadPriority, 
ThreadBasePriority, 
ThreadAffinityMask, 
ThreadImpersonationToken, 
ThreadDescriptorTableEntry, 
ThreadEnableAlignmentFaultFixup, 
ThreadEventPair, 
ThreadQuerySetWin32StartAddress, 
ThreadZeroTlsCell, 
ThreadPerformanceCount, 
ThreadAmILastThread, 
ThreadIdealProcessor, 
ThreadPriorityBoost, 
ThreadSetTlsArrayAddress, 
ThreadIsIoPending, 
ThreadHideFromDebugger // 17 (0x11) 

) THREAD INFORMATION CLASS, *PTHREAD INFORMATION CLASS; 


NTSTATUS ZwSetInformationThread( 
in HANDLE ThreadHandle, 


. in THREADINFOCLASS ThreadInformationClass, 
. in PVOID ThreadInformation, 
. in ULONG ThreadInformationLength 
); 出 处 ，MSDN 


ZwSetImnformationThread0O 函 数 是 一 个 系统 原生 API (System Native API )， 顾 名 思 义 ， 它 是 用 
来 为 线程 设置 信息 的 。 该 函数 拥有 2 个 参数 ， 第 一 个 参数 ThreadHandle 用 来 接收 当前 线程 的 句柄 ， 
第 二 个 参数 ThreadInformationClass 表 示 线 程 信 息 类 型 ， 若 其 值 设置 为 ThreadHideFrom- 
Debugger(0x11)， 调 用 该 函数 后 ， 调 试 进程 就 会 被 分 离 出 来 。ZwSetInformationThread() API 不 会 
对 正常 运行 的 程序 ( 非 调试 运行 ) 产生 任何 影响 ， 但 若 运 行 的 是 调试 器 程序 ， 调 用 该 API 将 使 调 
试 器 终止 运行 ， 同 时 终止 自身 进程 。 


51.6.1 练习 : StaAD ZwSIT.exe 


首先 在 OllyDbg 调 试 器 中 打开 示例 程序 StaAD_ZwSITexe, 然后 分 别 在 401027 与 401029 地 址 处 
按 F2 键 设置 断 点 ， 按 F9 运 行程 序 。 
如 图 51-24 所 示 ， 调 试 器 在 401027 地 址 的 断 点 处 暂停 ， 位 于 该 地 址 处 (401027 ) 的 CALL ESI 


550 $513 静态 反 调试 技术 


指令 用 来 调用 ntdll.ZwSetInformationThread() API。 按 F9 键 继续 执行 401027 地 址 处 的 指令 ,这 样 就 
会 分 离 出 被 调试 进程 并 终止 运行 。 而 且 ，OllyDbg 调 试 器 将 无 法 正常 调试 401029 地 址 处 的 指令 ， 
出 现 运行 错误 。 








ntdll.ZwSetInformationThread 





PUSH ESI 






98401066 š 56 






0040100601 . 68 009D4000 PUSH StanD_Zw. 00409000 ProoNMameOrOrdinal = "ZWSet Informat ionThread” 
90481686 . 68 1l89D4000 PUSH StaRD_zu. 00409018 [usare = "ntdll.dli'* 
90401008B . FF15 00804000 |CALL DWORD PTR DS: [<&KERNELS2. Getrloda LeHandlell 






90481811 . 508 PUSH ERX hModule = FFFFFFFE 
B8461812 . FF1S 083804000 |CALL DWORD PTR DS: [CSKERNEL32,| LSetProchddress 
00401018 . 6A 880 PUSH à 






90040101A . 6A 88 | PUSH 8 
06040101C . 6A 11 PUSH 11 
09040101E . 8BFB MOU ESI,ERX 







. FF1S 04804000 |CALL DWORD PTR DS:IX&KERNEL32. | [GetcuzzentT 
PUSH 


0040810620 
00401025 




















ASCII 





. 68 2C9D PUSH StaRD Zw. 
. E8 52010000  |CRLL StaRD Zw. 00491185 





G040102E 







00401032 . 68 60904000 PUSH StaAD_Zw. 00409060 ASCII 8R,"press any ” 
00401028 . E8 48010000 CALL StaRD 2w.00401185 
00401930 . 83C4 08 ADD ESP, 8 





58481848 . Es FE000000 CALL StaRD 2u.080401149 

















00401045 . 330 KOR EAX, EAX 
00401047 . SE POP ESI ntdll.ZwSetInformationThread 
aa4gia4g . C3 RETN 





图 51-24 ”调试 StaAD_ZwSIT.exe 


51.6.2 ”破解 之 法 


简单 的 破解 思路 是 : 调用 401027 地 址 处 的 ZwSetInformationThread() API 前 ， 查 找 存 储 在 栈 中 
的 第 二 个 参数 ThreadInformationClass 值 ， 若 其 值 为 ThreadHideFromDebugger(0x11)， 则 修改 为 0 后 
继续 运行 即 可 。 

当然 也 可 以 钩 取 ZwSetinformationThread() API， 并 以 同样 方式 操作 函数 的 参数 。 

RAR 
利用 ZwSetInformationThread() 进 行 反 调试 的 工作 原理 是 : 将 线程 隐藏 起 来 ， 调 试 
器 就 接收 不 到 信息 ， 从 而 无 法 调试 。 另 外 ，Windows XP 以 后 新 增 了 DebugActive- 
ProcessStop() API。 


代码 51-16 DebugActiveProcessStop() API 


BOOL WINAPI DebugActiveProcessStop( 


. in DWORD dwProcessId 
); 出 处 ，MSDN 


DebugActiveProcessStop() API 用 来 分 离 调 试 器 和 被 调试 进程 ， 从 而 停止 调试 。 而 前 面 介 绍 的 
ZwSetInformationThread() API 则 用 来 隐藏 当前 线程 ， 使 调试 器 无 法 再 收 到 该 线程 的 调试 事件 ， 最 
终 停止 调试 (2 个 API 易 混淆 ， 需 牢记 )。 


51.7 TLS 回调 函数 


TLS 回 调 函 数 是 反 调试 技术 中 常用 的 函数 , 像 前 面 介绍 的 技术 一 样 , 如 果 不 明 白 其 工作 原理 ， 
使 用 时 就 会 束手无策 。 

其 实 , 我 们 并 不 能 将 TLS 回 调 本 身 看 作 一 种 反 调试 技术 , 但 是 由 于 回调 函数 会 先 于 EP 代码 执 
行 , 所 以 反 调 试 技术 中 经 常 使 用 它 。 在 TLS 回 调 艺 数 内 部 使 用 IsDebuggerPresent0 等 函数 判断 调试 
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与 否 ， 然 后 再 决定 是 否 继续 运行 程序 
第 45 章 中 对 反 调 试 相关 内 容 与 破解 之 法 做 了 详细 讲解 ， 请 各 位 参考 


51.8 ETC 


首先 , 要 明白 我 们 应 用 反 调 试 技术 的 目的 在 于 防止 程序 遭受 逆向 分 析 。 不 必 非 得 为 此 费力 判 
断 自身 进程 是 否 处 于 被 调试 状态 。 一 个 更 简单 、 更 好 的 方法 是 , 判断 当前 系统 是 否 为 逆向 分 析 专 
用 系统 ( 非常 规 系统 )， 若 是 ， 则 直接 停止 程序 。 这 样 就 出 现 了 各 种 各 样 的 反 调试 技术 ， 这 些 技 
术 都 能 从 系统 中 轻松 获取 各 种 信息 ( 进程 、 文 件 、 窗 口 、 注 册 表 、 主 机 名 、 计 算 机 名 、 用 户 名 、 
环境 变量 等 ), 这 些 反 调试 技术 通常 借助 Win32 API 获 取 系 统 信息 来 具体 实现 。 下 面 简单 介绍 几 个 
例子 

(1) 检测 OllyDbg 窗 口 一 FindWindow()。 

(2) 检测 OllyDbg 进 程 二 CreateToolhelp32Snapshot()。 

(3) 检查 计算 机 名 称 是 否 为 “TEST”“ANALYSIS” 等 一 GetComputerName0。 

(4) 检查 程序 运行 路 径 中 是 否 存在 “TEST”、“SAMPLE” 等 名 称 — GetCommandLineO。 

(5) 检测 虚拟 机 是 否 处 于 运行 状态 ( 查看 虚拟 机 特有 的 进程 名 称 二 VMWareService.exe、 
VMWareTray.exe, VMWareUser.exe^f )。 

提示 —— n[” os 
上 述 这 些 反 调试 技术 的 破解 之 法 并 不 难 , 所 以 著名 的 保护 器 中 并 不 会 使 用 它们 (更 
棒 的 反 调 试 技术 多 得 是 )。 但 偶尔 有 一 些 不 怎么 出 名 的 保护 器 /压缩 器 会 使 用 ， 恶 意 代 
码 中 也 经 常用 到 。 如 果 平 时 不 在 意 这 些 ， 那 么 很 有 可 能 会 被 它们 “ 套 住 " ， 白 白浪 费 许 
多 时 间 。 





51.8.4 练习 : StaAD FindWindow.exe 


首先 启动 OllyDbg 调 试 器 ， 然 后 双击 运行 StaAD_FindWindow.exe 程 序 ， 命 令 行 窗口 中 就 会 显 
示 “ 探 测 到 调试 器 ”的 信息 ， 如 图 51-25 所 示 。 


cx CWworkW otaAD_FindWindow.exe 





图 51-25  StaAD FindWindow.exe 运 行 画 面 


StaAD_FindWindow.exe 代 码 中 调用 了 FindWindow() 与 GetWindowText() API, 探测 是 否 存在 指 
定名 称 ( OllyDbg、IDA Pro, WinDbg2 ) 的 调试 器 窗口 。 


51.8.2 ”破解 之 法 
首先 在 OllyDbg 调 试 器 中 打开 练习 文件 ， 然 后 在 401023 地 址 处 设置 好 断 点 并 运行 程序 ， 如 图 
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51-26 所 示 。 














20461810 . 56 PUSH ESI Title = NULL 
DB45161E . 63 109D4D90 PUSH StaRD_Fi.00409D10 "GlblyDbe'" 
00401025 TEST EAX, EAX 

HO401627 -~ ?5 18 Hz SHORT StaRD Fi.80481041 

00401029 . 50 PUSH EAX Title = 4C61C2C3 ??? 
ü040102n . 68 260904000 PUSH St aRD_F i. 00409020 [: lass = "TIdaUlindouw" 
06040102F FFD7 CRLL EDI Findllindowld 

00401031 . &5c0 TEST EAX, EAX 

0040819335 . ?5 DC JNZ SHORT StaRD Fi.G80401041 

964012035 SB PUSH ERX Title = 4C5tC2C3 ??? 
90401036 68 33904000 PUSH St aRD_F i. 00409038 Ë lass = "iinDbaFrameClass" 
06401038 FFD? CRLL EDI Findiindould 









Emm 
EDI=77055SC3 (USERSZ.F indWindowll) 





0012FDS8 |- aaaaaoBa|e Title = NULL 
O812FDSC |+ 7C940288|ntdll. 7C948288 
ga4osnse 0012FD60 |+ 6980000865 
aa4a9D4a Boi2FD064 j|- 09416061 


00499056 80 69 59 GA 46 69 6E .Fi 5912FD6B |. DOGFGG44 


am amen Sanz een a 


图 51-26 调用 FindWindow0O 的 代码 


图 51-26 的 代码 中 共有 3 处 调用 FindWindowO API。40101E 地 址 处 的 PUSH 409D10 指 令 中 ,地 
址 409D10 指 向 Window Class 名 称 字符 串 , 它 是 FindWindow( API 的 第 一 个 参数 。 转 到 409D10 地 址 
处 ， 使 用 NULL 覆 盖 Window Class 名 称 字 符 串 缓冲 区 ， 那 么 FindWindow() API 将 无 法 探测 到 相应 
调试 器 。 

接 下 来 要 使 GetWindowText() API 失 效 。 在 401093 地 址 处 设置 好 断 点 并 运行 程序 ， 如 图 51-27 
所 示 。 






Rddre | ç * LEUTE 及 
BD405010 š 
Ba4aosnca8 : i 












MOU EDI, DWORD PTR DS:L«&USERS2. Geti ii 

















































B04010959  8B3D 18814000 USER32. Getllindow 






































üB48199F PUSH 5 Relation = Gi CHILD 
80461001 PUSH EAX [= = BO12FDéR 
804018n2 CRLL EDI Getliindow 

86401804 PUSH à Relation = Gl HUNDFIRST 
084018R6 PUSH EAX [s = 0812FD6R 
984819R7 CRLL EDI Getllindow 

ag4aoiaons MOU ESI,ERX 

884018RB TEST ESI,ESI 

Dne4281G8D JE StaRD Fi.88481133 

90401882 PUSH EBX 

GD4Q18B4 MOU EBX, DWORD PTR DS:[«&USERS2.Getlli] USERS2.GetUindouTestl 
6546815B8 . LER EBX,DWORD PTR DS:[EBXJ 

Ba481GCO > 68 04010000 PUSH 184 

864918C5 8D95 F4FDFFFF || LEA EDX,DUDRD PTR SS: EEBP-20C3 

004018CE PUSH EDX 

aa4eiacc PUSH ESI 

BO4018CD CALL EBX 

DG4B1GCF TEST EAX, EAX 

B04019D1 š JE SHORT StaRD_Fi.0040111B 

8Bd4B19D3 . 8085 F4FDFFFF || LER EAX, DWORD PTR SS:[LEBP-208C1 

20401009 68 B89040900 PUSH StaRD -F i. 88409088 Rrg2 = 886409DB8 
BG491GDE sø PUSH EAX [es: = 6812FD6R 
5g4B16DF ES E2619969 CALL StanD Fi.004012C6 StaRD Fi.G84812C6 





图 51-27 调用 GetDesktopWindow() 的 代码 


调用 GetWindowTextW( API 的 代码 在 4010B4 地 址 处 。 若 想 正常 调用 GetWindowTextW() API, 
就 不 能 执行 4010AD 地 址 处 的 条 件 跳 转 指令 。 要 实现 这 一 点 ， 可 以 直接 操作 条 件 跳 转 语句 ， 也 可 
以 将 其 上 GetDesktopWindow() 与 GetWindow() API 的 返回 值 (EAX 寄存 器 ) 修改 为 NULL 值 。 当 然 ， 
钩 取 FindWindow() API 与 GetWindowTextO API 也 是 非常 棒 的 方法 。 


51.9 小结 


本 章 讲解 了 静态 反 调试 的 方法 。 其 实 ， 除 了 本 章 介绍 的 方法 外 , 还 有 很 多 其 他 方法 ， 而 且 调 
试 过 程 中 还 会 遇 到 更 多 ， 这 些 反 调 试 方法 你 可 能 之 前 从 未 见 过 ， 只 要 认真 分 析 、 查 找 相关 资料 ， 
一 般 都 能 找到 好 的 破解 之 道 , 这 是 积累 经 验 、 不 断 进步 的 必 经 之 路 。 本 章 还 说 明了 静态 反 调试 技 
术 的 破解 之 法 ， 这 些 方法 虽然 不 太 难 ， 但 若 完全 不 了 解 ， 调 试 时 可 能 遭受 很 大 困难 。 

反 调试 技术 对 OS 有 很 强 的 依赖 性 ， 所 以 应 用 某 个 反 调试 技术 时 要 事先 确认 : 它 是 否 可 以 应 
用 到 目标 操作 系统 。 实 际 调试 中 会 使 用 多 种 调试 器 插件 , 借助 这 些 插件 可 以 有 效 回避 反 调试 技术 ， 
使 用 起 来 非常 方便 。 但 调试 器 的 插件 也 不 是 万 能 的 ， 它 们 无 法 破解 某 些 反 调 试 技术 。 此 时 ， 了 解 
这 些 插件 的 工作 原理 、 学 习 基 本 的 破解 之 法 就 显得 非常 有 用 了 。 


第 52 章 ”动态 反 调试 技术 


本 章 讲解 动态 组 别 中 的 反 调试 技术 ,运用 动态 反 调试 技术 可 以 不 断 阻止 对 程序 代码 的 跟踪 调 
试 。 与 静态 反 调试 技术 相 比 ， 动 态 反 调试 技术 难度 更 高 ， 破 解难 度 也 更 大 。 


52.1 动态 反 调 试 技术 的 目的 


反 调 试 技术 的 目的 就 是 隐藏 和 保护 程序 代码 与 数据 , 使 之 无 法 进行 道 向 分 析 。 PE 保护 器 中 一 
般 会 大 量 应 用 动态 反 调 试 技术 ， 以 保护 源 程序 的 核心 算法 。 在 调试 器 中 调试 运行 (应 用 了 动态 反 
调试 技术 的 ) 程序 时 , 动态 反 调试 技术 就 会 干扰 调试 器 ,使 之 无 法 正常 跟踪 查找 源 程序 的 核心 代 
fij ( OEP )。 


一 名 优秀 的 代码 逆向 分 析 人 员 能 够 克服 各 种 困难 ,顺利 完成 逆向 分 析 任 务 。 但 是 
分 析 应 用 了 动态 反 调试 技术 的 程序 时 ,仍然 会 比较 费力 ， 且 分 析 时 间 也 会 大 大 增加 。 








52.2 异常 


异常 (Exception) 常用 于 反 调 斌 技术。 正常 运行 的 进程 发 生 异 常 时 ， 在 SEH 机 制 的 作用 下 ， 
OS 会 接收 异常 ,然后 调用 进程 中 注册 的 SEH 处 理 。 但是, AEE ( 被 调试 者 ) 在 调试 运行 中 发 生 
异常 调试 器 就 会 接收 处 理 。 利 用 该 特征 可 判断 进程 是 正常 运行 还 是 调试 运行 , 然后 根据 不 同 结 
果 执 行 不 同 操作 ， 这 就 是 反 调试 技术 的 原理 。 
提示 
关于 利用 SEH 的 反 调试 工作 原理 及 破解 之 法 请 参考 第 48 章 。 








52.2.1 SEH 
代码 52-1 列 出 了 Windows 操 作 il 的 一 些 典 型 异常 。 

















代码 52-1 Windows On 

EXCEPTION DATATYPE MISALIGNMENT (0x80000002) 
EXCEPTION_BREAKPOINT (0x80000003) 
EXCEPTION_SINGLE STEP (0x80000004) 
EXCEPTION ACCESS VIOLATION (0xC0000005) 
EXCEPTION IN PAGE ERROR (0xC0000006) 
EXCEPTION ILLEGAL INSTRUCTION (0xC000001D) 
EXCEPTION NONCONTINUABLE EXCEPTION (0xC0000025) 
EXCEPTION INVALID DISPOSITION (0xC0000026) 
EXCEPTION ARRAY BOUNDS EXCEEDED (0xC000008C) 
EXCEPTION FLT DENORMAL OPERAND (0xC000008D) 
EXCEPTION FLT DIVIDE BY ZERO (0xC000008E ) 
EXCEPTION FLT INEXACT RESULT (0xC000008F ) 


EXCEPTION FLT INVALID OPERATION (0xC0000090) 


522 异常 555 


EXCEPTION FLT OVERFLOW (0xC0000091) 
EXCEPTION FLT STACK CHECK (0xC0000092 ) 
EXCEPTION FLT UNDERFLOW (0xC0000093) 
EXCEPTION INT DIVIDE BY ZERO (0xC0000094) 
EXCEPTION INT OVERFLOW (0xC0000095) 
EXCEPTION PRIV INSTRUCTION (0xC0000096) 
EXCEPTION STACK OVERFLOW (0xC00000FD) 


EXCEPTION_BREAKPOINT 

Windows 操 作 系统 中 最 具 代 表 性 的 异常 是 断 点 异常 。BreakPoint 指 令 触发 异常 时 ， 若 程序 处 
于 正常 运行 状态 , 则 自动 调用 已 经 注册 过 的 SEH; 若 程序 处 于 调试 运行 状态 ， 则 系统 会 立刻 停止 
运行 程序 ， 并 将 控制 权 转 给 调试 器 。 一 般 而 言 ， 异 常 处 理 器 中 都 含有 修改 EIP 值 的 代码 。 修 改 调 
试 咒 选项 可 以 把 处 在 调试 中 的 进程 产生 的 相关 异常 转 给 操作 系统 ， 自 动 调用 SEH 处 理 。 但 即便 如 
Jb, 在 异常 处 理 器 中 适当 应 用 静态 反 调试 技术 ， 也 能 够 轻松 判断 进程 是 否 处 于 调试 状态 。 此 外 ， 
EIP 值 在 异常 处 理 器 内 部 如 何 变化 也 不 得 而 知 ， 这 意味 着 ， 必 须 跟踪 进入 异常 处 理 器 才能 继续 
调试 。 

提示 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
若 程序 中 仅 应 用 了 几 个 基于 SEH 的 反 调试 技法 ， 则 很 容易 破解 。 但 若 应 用 了 数 十 
乃至 数 百 个 这 样 的 反 调试 技法 ， 调 试 速度 就 会 大 大 降低 ， 失 误 的 风险 也 会 大 增 。 


@ 练习 
先 在 OllyDbg 调 试 器 中 打开 示例 程序 (DynAD_SEH.exe )， 然 后 在 401000 地 址 处 设置 好 断 点 
并 运行 ， 如 图 52-1 所 示 。 


BJ CPU - main thread, module DynAD_SE 


PUSH EBP 
8094013501) . MOU EBP,ESP 
oG401083| . 53 PUSH EBX 












. 68 R8994068 PUSH DynAD_SE. 004099A0 ASCII "SEH : BreakPoint^n" 
ES 69000000 CALL DynAD_SE. 00401077 
83C4 B4 ADD ESP, 4 
68 20104000 PUSH DynAD_SE. 00401062C SE handler installation 


. 64:FF35 O00000D0D | PUSH DWORD PTR FS: [6] 
64:8925 660666669 | MOU DWORD PTR FS:[0], ESP 
CC 

B8 FFFFFFFF 
FFEG 















=> Exception??? 








formo: SE. 00401040 


64:8F0S 86866D69 | POP DWORD PTR FS:[0] > Remove SE handler 
83C4 84 RDD ESP, 4 
68 B49940006 PUSH DynAD_SE, 00409984 
ES 23000000 CALL DynAD_SE. 00401677 











ASCII ” => Not debugging... n^n" 





DynRD. SE. 00401065 
DynAD_SE. 00401065 


图 52-1 基于 INT3 的 SEH 示 例 代码 
图 52-1 中 的 代码 是 基于 INT3 异 常 的 反 调试 代码 ， 代 码 执行 流 如 图 52-2 所 示 。 
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转 到 SE Handler 







无 法 转 到 SE Handler 








JMP《〈 跳 转 ) 到 非 正常 代码 | | 处 理 异常 后 回 到 正常 代码 


图 $2-2 ”代码 执行 流 


下 面 逐 个 分 析 代 码 执行 流 各 阶段 的 代码 (请 各 位 边 调试 边 跟着 学 习 )。 
#1. 安装 SEH 
首先 在 以 下 代码 中 安装 SEH ( 40102C )。 


00401011 PUSH 40102C ; SEH 
00401016 PUSH DWORD PTR FS:[0] 
0040101D MOV DWORD PTR FS:[0],ESP 


#2. 发 生 INT3 异 常 

以 下 代码 用 来 触发 INT3 异 常 。 
00401024 INT3 

#3-1. 调试 运行 - 终止 进程 

车 进程 处 于 调试 运行 状态 ， 则 需要 由 调试 器 ( 此 处 为 OllyDbg ) 处 理 异常 。INT3 指 令 是 CPU 
中 断 〈Interrupt ) 命令 ， 在 用 户 模式 的 调试 器 中 什么 也 不 做 ,继续 执行 其 下 的 命令 。 


00401025 MOV EAX,-1 ; -1 (6xFFFFFFFF) 
0040102A JMP EAX 


因 进 程 处 于 调试 中 ， 故 跳 转 到 非法 地 址 处 ( FFFFFFFF )， 无 法 继续 调试 。 
En 
以 上 练习 示例 中 ,进程 处 于 调试 状态 时 会 直接 终止 运行 ， 逆 向 分 析 人 员 能 够 借 此 
轻松 把 握 在 什么 地 方 遭 受 了 反 调 试 。 但 是 有 些 保 护 器 会 将 代码 执行 跳 转 到 垃圾 代码 。 
逆向 分 析 人 员 跟 踪 这 些 宛 长 的 垃圾 代码 时 会 精 疲 力 尽 ， 而 且 进 程 终 止 时 ， 也 很 难 把 握 
在 哪里 遭受 了 反 调 试 技 术 的 “狙击 "。 这 是 一 种 非常 狂 狂 的 伎俩 , 很 容易 让 人 陷入 迷途 。 





#3-2. 正常 运行 〈 非 调试 运行 ) - 运行 SEH 

若 进程 为 非 调试 运行 ， 那 么 执行 到 INT3 指 令 时 就 会 调用 执行 前 面 已 经 注册 过 的 SEH。 
0040102C MOV EAX,DWORD PTR SS:[ESP+C] 
00401031 MOV EBX,401040 
00401036 MOV DWORD PTR DS:[EAX«B8] , EBX 


0040103D XOR EAX, EAX 
00401903F RETN 


SS:[ESP+C] 是 CONTEXT *pContext 结 构 体 的 指针 , 而 CONTEXT *pContext 结 构 体 正 是 SEH 的 
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第 三 个 参数 , 它 是 一 个 发 生 异常 的 线程 CONTEXT 结 构 体 。 DS:[EAX-B8]fR If] pContext EipJX, P3 , 
所 以 401036 地 址 处 的 MOV 指 令 用 来 将 该 结构 体 的 EIP 值 修改 为 401040。 然 后 ， 异 常 处 理 器 返回 0 
( ExceptionContinueExecution )。 接 下 来 ， 发 生 异 常 的 线程 再 次 从 修改 后 的 EIP 地 址 处 ( 401040 ) 
开始 运行 。SEH 函 数 定义 如 下 ， 请 参考 。 


EXCEPTION DISPOSITION ExceptHandler 
( 
EXCEPTION RECORD *pRecord, 
EXCEPTION REGISTRATION RECORD *pFrame, 
CONTEXT *pContext , 
PVOID pValue 
); 


*# 该 函数 未 在 MSDN 中 公开 ， 以 上 定义 是 我 参考 多 个 网 站 给 出 的 。 


typedef enum EXCEPTION DISPOSITION í 
ExceptionContinueExecution, // 0 
ExceptionContinueSearch, 
ExceptionNestedException, 
ExceptionCollidedUnwind 
) EXCEPTION DISPOSITION; 出 处 : MS Visual C++ 2010 Express:excpt.h 


以 下 是 CONTEXT 结 构 体 的 定义 (已 标 出 各 成 员 的 偏 移 量 )。 


// CONTEXT IA32 
struct CONTEXT 


t 
DWORD ContextFlags; 


DWORD Dr0; // 04h 
DWORD Drl; // 08h 
DWORD Dr2; // OCh 
DWORD Dr3; // 10h 
DWORD Dr6; // 14h 
DWORD Dr7; // 18h 


FLOATING SAVE AREA FloatSave; 


DWORD SegGs; // 88h 
DWORD SegFs; // 90h 
DWORD SegEs; // 94h 
DWORD SegDs; // 98h 


DWORD Edi; // 9Ch 
DWORD Esi; // A0h 
DWORD Ebx; // A4h 
DWORD Edx; // A8h 
DWORD Ecx; // ACh 
DWORD Eax; // BOh 


DWORD Ebp; // B4h 
DWORD Eip; // B8h 
DWORD SegCs; // BCh (must be sanitized) 
DWORD EFlags; // COh 
DWORD Esp; // C4h 
DWORD SegSs; // C8h 


BYTE ExtendedRegisters[MAXIMUM SUPPORTED EXTENSION]; // 512bytes 
); 出 处 ，MS SDK 的 winnt.h 
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若 不 处 理 异 常 且 EIP 值 保 持 不 变 ， 返 回 ExceptionContinueExecution 时 会 再 次 执行 
401024 地 址 处 的 INT3 指令 ， 同 时 再 次 调用 执行 40102C 地 址 处 的 SEH,， 最 终 陷入 无 限 
循环 ， 造 成 栈 溢出 ， 导 致 进程 终止 。 








#4. 删除 SEH 


00401040 POP DWORD PTR FS:[0] 
00401047 ADD ESP,4 


进程 正常 运行 时 ,#1 中 注册 的 SEH (40102C ) 就 会 被 删除 (车 进程 处 于 调试 运行 , ##-1 中 的 
代码 就 会 造成 进程 非 正 常 终止 )。 

e 破解 之 法 

如 图 52-3 所 示 ， 在 Debugging options 对 话 框 的 Exceptions 选 项 卡 中 ， 复 选 “INT3 breaks” 后 ， 
调试 器 就 会 忽略 被 调试 进程 中 发 生 的 INT3 异 常 ， 而 由 自身 的 SEH 处 理 。 


ebugging options 


Commands | Disasm | CPU ] Registers | Stack | Analysis 1 | Analysis 2 | Analysis 3 
Securty | Debug | Events Ë ions f Trace | srx | Stings | Addresses | 


JV Ignore memory access violations in KERNEL32 


Ignore [pass to program] following exceptions: 


ingle-step break 

IV. Memory access violation 

ÍV Integer division by 0 

TV. Invalid or privileged instruction 
iv AIIFPU exceptions 


T^ Ignore also following custom exceptions or ranges: 


Add range 
| 
Undo | Cancel | 


图 52-3 OllyDbgi#I/ji—Exceptions 


如 图 52-3 设 置 好 调试 选项 ， 进 程 调试 过 程 中 遇 到 INT3 指 令 时 ,调试 器 不 会 停 下 来 ,而 会 自动 
调用 执行 被 调试 进程 的 SEH ( 与 正常 运行 一 样 )。 请 各 位 自行 测试 ， 先 分 别 在 SEH (40102C ) 与 
代码 正常 运行 处 (401040 ) 设置 断 点 ， 然 后 按 F9 键 运行 程序 


提示 








有 时 ， 在 某 些 环境 ( OS、 调 试 器 插件 Bug 等 ) 中 使 用 StepInto(F7) 或 StepOver(F8) 
命令 跟踪 INT3 指令 会 导致 调试 器 非 正 常 终止 。 遇 到 这 种 情况 时 , 请 按照 以 上 说 明 设 置 
好 断 点 后 再 按 F9 运行 程序 。 











52.2.2 SetUnhandledExceptionFilter() 


进程 中 发 生 异 常 时 ， 若 SEH 未 处 理 或 注册 的 SEH 根 本 不 存在 ,会 发 生 什么 呢 ? 此 时 会 调用 执 
行 系统 的 kernel32!1UnhandledExceptionFilter() API, 该 函数 内 部 会 运行 系统 的 最 后 一 个 异常 处 理 器 
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( 名 为 Top Level Exception Filter 或 Last Exception Filter )。 系 统 最 后 的 异常 处 理 器 通常 会 弹出 错 
消息 杠 ， 然 后 终止 进程 运行 ， 如 图 52-4 所 示 。 


(iy DynAD SUEFexe |. 











DynAD SUEF.exe =E T (E 
| 过 现 了 一 个 问题 ， 导 或 程 序 停 赴 正常 工作 如果 有 可 用 的 解 块 。| 
方案 


| 
| 
| , Windows 将 关闭 程序 并 通知 您 。 | 
| EOE | | 
图 52-4 系统 最 后 的 异常 处 理 
(BAS TEXEBUAE, kernel32!UnhandledExceptionFilter() 325574] T ntdll!NtQueryInformationProcess 
(ProcessDebugPort) API ( 静态 反 调试 技术 ), BA 断 是 否 正在 调试 进程 。 若 进程 正常 运行 ( 非 调 
试 运行 )， 则 运行 系统 最 后 的 异常 处 理 器 ; 若 进程 处 于 调试 中 ， 则 将 异常 派送 给 调试 器 。 通 过 


kernel32!SetUnhandledExceptionFilter() API 可 以 修改 系统 最 后 的 异常 处 理 髓 (Top Level Exception 
Filter )， 函 数 原型 如 下 : 














代码 52-2 SetuUnhandledExceptionFilter() API - 





LPTOP LEVEL EXCEPTION FILTER WINAPI Setüphandt&dEkceptionfilteri 
. in LPTOP LEVEL EXCEPTION FILTER lpTopLevelExceptionFilter 
i 出 处 : http://Psdn.microsoft.com/en-us/library/ms680634(VS.85).aspx 
调用 该 函数 修改 系统 最 后 异常 处 理 器 时 ， 只 要 将 新 的 Top Level Exception Filter 函 数 地 址 传递 
给 函数 的 jpTopLevelExceptionFilter 参 数 即 可 ( 返回 值 为 上 一 个 Last Exception Filter 函 数 地 址 ), Top 
Level Exception Filter 函 数 定义 如 下 : 


TEST 





typedef struct EXCEPTION POINTERS í 
PEXCEPTION RECORD ExceptionRecord; 
PCONTEXT ContextRecord; 

) EXCEPTION POINTERS, *PEXCEPTION POINTERS; 


LONG TopLevelExceptionFilter( 
PEXCEPTION POINTERS pExcept 


) 出 处 : MSDN 

基于 异常 的 反 调试 技术 中 ， 通 常 先 特意 触发 异常 ， 然 后 在 新 注册 的 Last Exception Filter 内 部 
判断 进程 正常 运行 还 是 调试 运行 ， 并 根据 判断 结果 修改 EIP 值 。 系 统 在 此 过 程 中 自行 判断 调试 与 
否 。 这 种 反 调试 技术 融合 了 静态 与 动态 方法 ， 下 面 通过 练习 示例 进一步 学 习 。 

e 练习 

首先 在 OllyDbg 调 试 器 中 打开 示例 程序 (DynAD_SUEF.exe )， 在 401030 地 址 处 设置 断 点 后 运 
fr (参考 图 52-5 )。 

下 面 边 调 试 代码 边 了 解 程序 执行 流 及 反 调 试 工作 原理 。 首 先 调 用 printf0) 函 数 输出 字符 串 ， 代 
码 如 下 所 示 : 
00401030 PUSH EBP 


00401031 MOV EBP,ESP 


00401033 PUSH 4099A0 ; “SEH : SetUnhandledExceptionFilter()Vn" 
00401038 CALL 00401087 ; printf() 
0040103D ADD ESP,4 
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s ss | PUSH EBP 
. SBEC | MOU EBF, ESP 
|. 68 A0994000 | PUSH DynAD_SU. 004899R80 ASCII "SEH : SetUnhandledEscept LonF 
. ES 4000900  |CRLL DynAD_SU. 00401087 
. S88C4 04 | ADD ESP,4 
60401042) . 63 00104000 PUSH DynRD SU. 00401000 pTopLevelFilter = DynAD_SU. 00401000 
004901645] . FF15 00804000 | CALL DWORD PTR DS: LX&KERNEL32. Seti t SetUnhandledE«cept LonF ilter 
60401084B] . A3 3CCB4000 MOU DWORD PTR DS: L48CB3C3, EAX 
ao4pI6Se| . 33C8 XOR EAX, EAX 
6040108052) . 8900 MOY DWORD PTR DS: [EAX], EAX 
| := FFEO JMP EAX 
68 C9994000 | PUSH DynAD_SU. 004099C8 ASCII " => Not debugging. ..5n5n” 
. E8 27000000 |CALL DynAD_SU. 00401087 
. 834 84 | ADO ESP,4 
5D | PüP EBP DynRO SU. 00401075 
ca | RETN 








图 $2-5 SetUnhandledExceptionFilter0 示 例 代 码 


然后 , 调用 SetUnhandledExceptionFilter() 来 注册 新 的 Top Level Exception Filter ( 新 的 Exception 
Filter 函 数 中 包含 异常 处 理 代 码 )。 


00401040 PUSH 00401000 ; New Top Level Exception Filter 
00401045 CALL DWORD PTR DS: [&KERNEL32.SetUnhandledExceptionFilter] 
0040104B MOV DWORD PTR DS:[40CB3C],EAX ; 保存 0Ld Filter 地 址 


在 Top Level Exception Filter( 401000 ) 与 Kernel321UnhandledExceptionFilter() API E WA o 
位 于 401045 地 址 处 的 CALL 指 令 用 来 将 401000 地 址 处 的 函数 注册 为 Top Level Exception Filter; £A 
后 强制 触发 异常 ， 代 码 如 下 所 示 : 


00401050 XOR EAX, EAX ; EAX = 0 
00401052 MOV DWORD PTR DS: [EAX] ,EAX ; Invalid Memory Access Violation! 


车 执行 401052 地 址 处 的 指令 ， 程 序 将 尝试 向 尚未 定义 的 进程 虚拟 内 存 地 址 (CO) 5 AH, 
会 引发 无 效 的 内 存 非法 访问 异常 。 接 着 , 程序 会 在 设 有 断 点 的 Kernel32!UnhandledExceptionFilter() 
API 内 部 自动 暂停 ( 因 蜡 常 未 处 理 ， 故 系统 要 运行 它 )， 如 图 $2-6 所 示 。 


CPU - main thread, module kernel32 





4D6 
U ERX,DWORD PTR EER Y89565 
DWORD PTI Ed : [EBP-1C], EA 
EBX, DWORD PTR SS: 恒生 DynamicA. <Modu leEntryPoint> 
WORD PTR SS: LEBP-1583, EBX 
DWORD PTR SS:IEBP-1481,4 
EDI, EDI 
DWORD PTR SS:LEBP-1381,EDI 
DWORD PTR SS:[EBP-1701,EDI 
MOU EAX, DWORD PTR DS: [EBX] 
TEST BYTE PTR DS: [EAX+4], 10 
JE SHORT kernel32.7C863EB4 
BUSH DURO PTR DS:[EAX] 
FF15 29144 EALL DWORD PTR DS:[<&ntdll.NtTer|ntdll.ZwTerminateProcess 
SBB3 EAX, DWORD PTR DS:[EBX] 
BE Boooad H0U ESI, COGBGGOS 
3930 CHP DWORD PTR DS: LEAX], ESI 
75 1A i.Hz SHORT kernel32. FC969ED9 
Gare 14 81CHP DWORD PTR DS:[EAX+14], 
14 | JNZ SHORT kernel32. P OU SEDo 
外 za 13 _ | PUSH DWORD PTR_DS: [EAX+18] 
ES S6FCFFR CALL pasa gz, 7C863853 
83F8 FF CHF EAX, 
75 07 JNZ SHORT kerne l32.7C863E09 
agca OR ERX,ERX 
ES Ecasemd JHP kerne 32. 79647! 
BonD Wr Waaa PTR SS: (EEP-1241, EDI 
| 






2 










PUSH El 


PUSI 
LEA ERX, DWORD PTR SS: [EBP-1241 
[SSH EAX 





EA 84 
8085 DCFE 
£9 











A ap <= 2nd Param [in] : ProcessDebusPort(?) 
ES 959FFRF ERE ke kernei32. GetCurrentProcess f 


5a 
FF15 muaji EP BORO PTR DS: [<&ntdl lL. NtGu 





Ssca TEST EAX, EAX 

BFSC Azaad JL kernel32.7C863Fh1 

398D DCFEF CMP DWORD PTR SS: LEBP-1241, EDI 
ars4 Sénat . JE kernel32.7C863FR1 








图 52-6 Kernel32!UnhandledExceptionFilter() API 


请 注意 7C863EF1 地 址 处 的 CALL ntdli!NtQueryInformationProcess() APHÉ S , 其 第 二 个 参数 传 
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人 的 值 为 ProcessDebugPort (7). M—F PH, CE- Ries EX. HRR o 
为 了 继续 调试 , 调用 该 函数 后 需要 将 第 三 个 参数 [EBP-124] 的 值 ( 原 值 为 FFFFFFFF ) 修改 为 0 ( 
考 图 52-7 )。 


CPU - main thread, module kernel32 


MOU DWORD PTR SS:LEBP-1241,EDI | 
PUSH EDI 
| PUSH 4 | 
LER EAX, DWORD PTRÉSS 
PUSH ERX " 
6A er | PUSH 7 

Eg S59FFRFF CRLL kernel3g 
se PUSH ERX 
CALL DWD PTR DS:[<&ntdll.NtQud nc 











89ED DCFEFFFF 


s? 


DCFEFFFF <= Srd Param [out] : Pointer of DebugFort 








<= 2nd Param Lin] : ProcessDebuaPort(7] 


ietCurrentProcess 











P DWORD PTR SS: IEBP-124],EDI 
JE kernel32.?C868FR1 











图 $2-7 ”修改 第 三 个 参数 的 结果 值 
继续 跟踪 调试 ， 出 现 图 52-8 所 示 的 代码 。 


56 | PUSH ESI kernel32.7C8857980 
FF15 8C11807C |CRLL DWORD PTR DS:t4&ntdll.RtlLe ntdl Ll. Rt LLeaveCrit icalSect ion 
FFBS BØFEFFFF | PUSH DWORD PTR SS:[EBP-1503 













~ 8F84 86070000 
83F8 FF 








CMP EAX, -1 


图 52-8 


TC86482R 


调用 New Top Level Exception Filter 


7C86402F 地 址 处 的 CALL EBX 指 令 用 来 调用 前 面 注册 的 New Top Level Exception Filter 函 数 
( 401000 )。 接 下 来 继续 跟踪 Exception Filter 函 数 ， 如 图 52-9 所 示 。 





















PUSH EBP 

8909401081 SBEC | MOV EBP,ESP 
00401003 A1 3C| MOU EAX, DWORD PTR DS: [48CB3C] [48CE3C] = Old Top Level Exception Filter 
09401002 sa FUSH ERX poo z NULL 
25401609 FF15 |CALL DWORD PTR DS:[<&KERNEL22.|ESetüUnhandledEscept ionF ilter 
92946100F 8B4D | MOU ECX, DWORD PTR SS: LEBF+8] [EBP+8] = pExscept 
D40101 8B41 | MOU EAX, DWORD PTR DS:[ECX+4] LECX+4] = pContest 
29401615 8380 | ADD DWORD PTR DS: [EAX+B8], 4 [EAX+B8] = pContest->Eip 

83C8 | OR ERX,FFFFFFFF 

5D POP EBP kernel32.7C864031 
ea4nio20 C2 04 RETN 4 








图 52-9 Top Level Exception Filteri% 


地 址 401003 代 码 中 的 [40CB3C] 是 Old Top Level Exception Handler 地 址 ( 在 图 52-5 的 代码 中 备 
份 过 )。 在 401009 地 址 处 再 次 调用 SetUnhandledExceptionFilter0 ， 恢 复 Exception Filter。401015 地 
址 处 的 ADD 指 令 将 EIP 的 值 增加 了 4。 由 图 52-5 可 知 ， 发 生 异 常 的 代码 地 址 为 401052， 将 该 值 加 4 
变 为 401056。 也 就 是 说 ， 返 回 Exception Filter 后 ， 继 续 从 401056 地 址 处 执行 代码 (在 401056 地 址 
处 设置 好 断 点 后 即 可 继续 调试 )。 以 上 示例 代码 并 不 复杂 ， 多 调试 几 次 就 能 充分 理解 其 原理 。 

e 破解 之 法 

利用 SetUnhandledExceptionFilter() API 反 调试 的 技术 综合 运用 了 静态 & 动 态 技 术 。 因 此, 破解 
时 要 先 使 Kernel32!UnhandledExceptionFilter() ( 静态 技术 ) 内 部 调用 的 ntdll!NtQueryInformation- 
Process() API 失 效 ( 使 用 API 钩 取 等 技术 ) 然后 调用 SetUnhandledExceptionFilter() API 跟 踪 注 册 的 
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Exception Filter， 在 正常 运行 时 确定 要 跳 到 哪个 地 址 即 可 。 

||: RE — == 
除 上 述 内 容 外 ， 还 有 许多 基于 异常 触发 的 反 调试 技术 。 特 别 是 基于 SEH 的 反 调 试 
技术 在 实际 中 使 用 得 非常 多 ， 和 希望 各 位 通过 大 量 练习 来 掌握 。 





52.3 Timing Check 


在 调试 器 中 逐 行 跟踪 程序 代码 比 程序 正常 运行 ( 非 调试 运行 ) 耗 费 的 时 间 要 多 出 很 多 。 Timing 
Check 技 术 通过 计算 运行 时 间 的 差异 来 判断 进程 是 否 处 于 被 调试 状态 ( 参考 图 52-10 )。 


* Get T* time (T1) 





* Get 2" time (T1) 


If T2- T1 > 1 (sec) 
Call ExitProcess () 


图 52-10 Timing Check 工 作 原 理 


基于 Timing Check 的 反 调 试 原理 相当 简单 ， 破 解 之 法 也 不 难 ， 只 要 直接 操作 获取 的 时 间 信 息 
或 比较 时 间 的 语句 即 可 。 但 实际 操作 中 ,该 反 调 试 技术 通常 与 其 他 反 调 试 技术 并 用 ， 导 致 反 调 试 
的 破解 过 程 变 得 异常 困难 ( 特别 是 这 些 代码 不 明显 时 ， 破 解 的 难度 会 更 大 )。 

DES =—— rs<À%so-—————— 
Timing Check 技术 也 常常 用 作 反 模拟 技术 ( Anti-Emulating )。 程 序 在 模拟 器 中 运行 
时 ， 运 行 速 度 要 比 程序 正常 运行 ( 非 模拟 器 中 运行 ) 慢 很 多 ， 所 以 Timing Check 技术 
也 能 用 来 探测 程序 是 否 在 模拟 器 中 运行 。 





52.3.1 ”时间 间隔 测量 法 


测量 时 间 间 隔 的 方法 有 很 多 种 ， 常 用 方法 如 下 所 示 : 
代码 52-4 ”测量 时 间 间 隔 的 方法 





1. Counter based method 
RDTSC 
kernel32!QueryPerformanceCounter()/ntdli!NtQueryPerformanceCounter() 
kernel32!GetTickCount|() 


2. Time based method 
timeGetTime() 
 ftime() 
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如 代码 52-4 所 示 , 测量 时 间 间 隔 的 方法 大 致 分 为 两 大 类 , 一 类 是 利用 CPU 的 计数 器 ( Counter ), 
另 一 类 是 利用 系统 的 实际 时 间 ( Time )。 接 下 来 学 习 基 于 RDTSC (Read Time Stamp Counter, i£ 
取 时 间 惟 计数 器 ) 的 反 调 试 技术 。 
提示 
计数 器 的 准确 程度 由 高 到 低 排 列 如 下 : 
RDTSC>NtQueryPerformanceCounter0O>GetTickCountO 
NtQueryPerformanceCounter() 5  GetTickCount() 使 用 相同 硬件 〈 了 Performance 
Counter ), 但 二 者 准确 程度 不 同 ( NtQueryPerformanceCounter() 准 确 度 更 高 ), 而 RDTSC 
是 CPU 内 部 的 计数 器 ， 其 准确 程度 最 高 。 基 于 时 间 的 方法 与 基于 计数 器 的 方法 在 实现 
过 程 上 比较 类 似 ， 原 理 也 差不多 。 





52.3.2 RDTSC 


x86 CPU 中 存在 一 个 名 为 TSC (Time Stamp Counter， 时 间 惟 计数 器 ) 的 64 位 寄存 器 。CPU 对 
每 个 Clock Cycle ( 时 钟 周 期 ) 计数 ， 然 后 保存 到 TSC。RDTSC 是 一 条 汇编 指令 ， 用 来 将 TSC 值 读 
和 人 EDX:EAX 寄 存 器 (TSC 大 小 为 64 位 ， 其 高 32 位 被 保存 至 EDX 寄 存 器 ， 低 32 位 被 保存 至 EAX 寄 
存 器 )。 

@ 练习 : DynAD RDTSC.exe 

为 了 加 深 各 位 对 Timing Check 反 调试 技术 的 认识 ,下面 调试 示例 程序 (DynAD_RDTSC.exe )。 

在 OllyDbg 调 试 器 中 打开 示例 程序 ， 转 到 401000 地 址 处 ， 如 图 52-11 所 示 。 













0084810891 . SBEC MOU EBP,ESP 

6040183 ||. 51 PUSH ECH 

00401064 ||. 53 PUSH EBX 

0040100905 ||. 56 EDS ESI 

pa4digae ||. 57 PUSH EDI 

60401067 ||. $68 Rna934888|PUSH 4 RSCII "Timing Check (RDTSC method)" 
B2491B8C ||. C745 FC 000 Mou DoR, jan SS: LEBP-41, & 

na4dicis ||. ES _SEBBB66D| CALL 00406 

00401018 ||. 83C4 84 ADD ESP di 

BadBlelB ||. ea PUSHRD 

Ga48ioiC ||. BF31 RDTSC 

Ga4diaiE ||. 52 PUSH EDX 

Ba4ALBIF PUSI x 

60401020 ||. 33c8 KOR EAX, EAX 

60401022 ||. B9 ES80838880 rou ee SES 

9034010627 || > 4e [Inc 

Badaig2e || .~ E2 FD Lop PSHORT 00401027 

gə401p2R ||. BF31 RDTSC 

80491p2C ||. SE POF ESI 

OoB4aia2D ||. SF PüP EDI 

Badia . SBD? CHP EDX,EDI compare high order bits 
80491 . PY? BC Jn SHORT 0198E 

80481 SUB EAX, E compare low order bits 


8945 FC Hou Bii NORD baud OSEERE, EAX 
9D FFFFFFBB| CHP ERX,DFFF 
72 a4 JB SHORT D0401042 


bo] 

e 

+ 

e 

° 
moe 


B481 
0040160 





5 Da Š 
00401043 . Ec FC Hou Enx, n FTR S8: [EBP-4J 


Bo4Bio4e ||. 5 PUSH E 
86461847 ||. 68 Bc994000| PUSH 48099BC ASCII " : delta = XX (ticks)sn" 
po4mioic ||. Es 2209000 CALL 00461576 

en4niBe] ||: 68 04394688| PUSH 409904 ASCII " => Not debussing...*n^n" 
0060491956 ||: Es iB888688 CALL 00401076 

8060491958 ||. 8s3c4 ec ADD ESP, BC 

ün4ato5E ||: SF POP EDI 

60401095F ||: SE POP E 

me4mioen ||. 33ce ZOR ERK, EAX 

6g461662 ||. SB 

a4aiBés ||: 8BES MOU ESP, EBP 

omdnige ||. sp POP EBP 

en4aiaé6 |l. C3 RETN 











图 52-11 DynAD_RDTSC.exe 示 例 代 码 


下 面 简单 介绍 图 52-11 中 的 代码 流 ( 请 各 位 亲自 调试 )。 
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; 第 一 次 执行 RDTSC 指 令 - 将 TSC 保 存 到 EDX:EAX (64 位 ) 
0040101C RDTSC 


; 将 结果 值 放 入 栈 
0040101E PUSH EDX 
0040101F PUSH EAX 


; 用 于 消耗 时 间 的 循环 (实际 代码 相当 复杂 ) 
00401020 XOR EAX, EAX 

00401022 MOV ECX,3E8 

00401027 INC EAX 

00401028 LOOPD SHORT 00401027 


; 第 二 次 执行 RDTSC 指 令 
0040102A RDTSC 


; 在 栈 中 输入 第 一 次 求 得 的 TSC 
0040102C POP ESI 
0040102D POP EDI 


; 比较 1 - Count 的 high order bits 
0040102bE CMP EDX,EDI 
090401030 JA SHORT 0040103E 


; 比较 2 - Count 的 Low order bits 

; 车 比 特定 值 (9xFFFFFF) 大 ， 则 断定 处 于 调试 状态 
00401032 SUB EAX,ESI 

00401034 MOV DWORD PTR SS:[EBP-4],EAX 
00401037 CMP EAX,9FFFFFF 

0040103C JB SHORT 00401042 


; 在 比较 语 铅 作用 下 进入 异常 触发 代码 ， 进 程 非 正常 终止 
0040103E XOR EAX,EAX 
00401040 MOV DWORD PTR DS:[EAX],EAX ; 异常 111 


; 忽略 比较 语 向， 继续 运 行 
00401042 POPAD 

从 上 述 代码 可 以 看 出 ，2 次 RDTSC 指 令 调 用 之 间 存 在 一 定 的 时 间 间 隔 ， 通 过 计算 时 间 差 值 
( Delta ) 来 判断 进程 是 否 处 于 调试 状态 。Delta 值 不 固定 ,一般 在 0xFFFF~0xFFFFFFFF 之 间 取 值 。 
40101C~40102A 地 址 间 的 代码 区 域 中 ， 只 要 执行 1 次 StepInto(F7) 或 StepOver(F8) 命 令 ，Count 的 间 
隔 就 会 大 于 0xFFFFFFFF。 

e 破解 之 法 

有 几 种 方法 可 以 破解 以 上 反 调 试 技术 。 

(1) 不 使 用 跟踪 命令 ， 直 接 使 用 RUN 命 令 越 过 相关 代码 。 

在 40102C 地 址 处 设置 断 点 后 运行 。 虽然 运行 速度 略 慢 于 正常 运行 速度 , 但 与 代码 跟踪 相 比 要 
快 很 多 。 

(2) 操作 第 二 个 RDTSC 的 结果 值 ( EDX:EAX )。 

操作 第 二 个 RDTSC 的 结果 值 ， 使 之 与 第 一 个 结果 值 相同 ， 从 而 顺利 通过 CMP 语 句 。 

(3) 操纵 条 件 分 支 指 令 ( CMP/Jcc )。 

在 调试 希 中 强制 修改 Flags 的 值 ,阻止 执行 跳 转 至 40103E 地 址 处 。 大 部 分 Jcc 指 令 会 受 CF 或 ZF 
的 影响 ， 只 要 修改 这 些 标志 即 可 控制 Jcc 指 令 。 

CF 与 ZF 全 为 0 时 ，JA 指 令 执行 跳 转 动作 。 只 要 将 CF 与 ZF 之 一 的 值 修改 为 1，JA 指 令 即 失效 。 
继续 调试 ，40103C 地 址 处 JB 指 令 会 直接 跳 过 异常 触发 代码 ( 401040 ) (参考 图 52-12、 图 52-13 )。 


524 ”陷阱 标志 565 








CPU - main thread, module DynAD. sip 


CHP EDX,EDI 
JR SHORT DunRD. RD. 00401063E 
SUB ERM,ESI 

MOU DWORD PTR SS: LEBP-41,ERX 
CMP ERX,BFFFFFF 

Je SHORT DynAD_RD. 00401642 
XOR EAX, EAX 

MOU DWORD PTR DS:[CEAX], EAX 
PDPRD 

MOU EAX, DWORD PTR SS:[EBP-43 
E PUSH EAX 

ES BC»94888 | PUSH DunRD RD.B884899BC 


图 52-12 JA 条件 分 支 指 令 









C 8 ES 800823 32bit 
P1 CS BB1B 32bit 
日 SS 0023 32bit 
Hy Ds 0023 32bit 
FS B83B 32bit 
GS 8888 NULL 
























LastErr ERROR. 





$2222222 


c G 

£ š š 

oco 
~ 
c 
+ 
m 











CHP EDX,EDI 
JA SHORT DynAD_RD. 00490103E 
SUB EAX, ESI 

MOU DWORD PTR 58: CEBP-41, EAX 
CHP EAX, BFFFFFF 

BEER ikan DynAD_RD. 00401042 5. 
XOR EAX, EAX 

MOU DWORD PTR DS:[CEAX], EAX 
POPAD 

MOU EAX, DWORD PTR SS:[EBP-41 
PUSH EAX 

PUSH DunRD RD.884899BC 


图 52-13 ”JB 条 件 分 支 指令 


| B648182E 
00401030 







m 
=i 
D 


DynAD_ 


ES 0023 32bit 
CS aB1B 32bit 
32b it 
DS 8823 32b it 
FS 883B 32bit 
GS gaga NULL 



























mo4aldaE 
0040106405 
0884081842 
ad4018043 
9084081046 
@ə4061047 





C S s | 
W 
i 
c 
° 
N 
O 


oOc-ornmnco:go 


LastErr ERROR. 








提示 
若 想 学 习 更 多 有 关 Jcc 指令 分 支 条 件 的 知识 , 请 前 往 Intel 网 站 参考 用 户 手册 ( Intel 
64 and IA-32 Architectures Software Developers Manual )。 





(4) 利用 内 核 模式 驱动 程序 使 RDTSC 指 令 失 效 。 
利用 内 核 模式 驱动 程序 可 以 从 根本 上 使 基于 RDTSC 的 动态 反 调 试 技术 失效 ( 其 实 ，Olly 
Advanced PlugIn 就 采用 了 该 方法 )。 

提示 

以 上 练习 示例 仅 用 于 向 各 位 说 明 相 应 的 工作 原理 ， 所 以 代码 都 非常 简单 。 但 实际 
的 反 调 试 代 码 中 ，RDTSC 指令 与 CMP/Jcc 条 件 分 支 指令 并 不 醒目 ， 而 是 巧妙 地 设置 到 
代码 各 处 ， 再 加 上 与 其 他 反 调 试 技术 (SEH、 动 态 方 法 ) 并 用 ,效果 非常 强大 ， 破 解 
起 来 也 比较 困难 。 





52.4 ”陷阱 标志 
陷阱 标志 指 EFLAGS 寄 存 器 的 第 九 个 (Index 8) 比特 位 ， 如 图 52-14 所 示 。 
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31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 16 15 14 13 12 11 10 LL: 6543210 


v 
F 
ID Flag (ID) 


Virtual Interrupt Pending (VIP) 
Virtual Interrupt Flag (VIF) 
Alignment Check (AC) 
Virtual-8086 Mode (VM) 
Resume Flag (RF) 

Nested Task (NT) 

MO Privilege Level (IOPL) 
Overflow Flag (OF) 

Direction Flag (DF) 

Interrupt Enable Flag (IF) 





v= 

rvo- 
[ro | 
L 79 | 
m 
ESNE 






AGL r n x X X x X X x X 





g ag 
Zero Flag (ZF) 
Auxiliary Carry Flag (AF) 
Parity Flag (PF) 
Carry Flag (CF) 


Un Ua Q LA 


Indicates a Status Flg 
Indicates a Control Flag Reserved bit positions. DO NOT USE. 
Indicates a System Flag Always set to values previously read. 


x nn x 


图 52-14 EFLAGS 寄 存 器 的 陷阱 标志 


524.1 单 步 执行 


TF 值 设置 为 1 时 ，CPU 将 进入 单 步 执行 (Single Step) 模式 。 单 步 执行 模式 中 ，CPU 执 行 1 条 
指令 后 即 触发 1 个 EXCEPTION SINGLE STEP 异常 ， 然 后 陷阱 标志 会 自动 清 零 (0 )。 该 
EXCEPTION_SINGLE_STEP 异 常 可 以 与 SEH 技 法 结合 ， 在 反 调 试 技术 中 用 于 探测 调试 器 。 

练习 

下 面 用 个 简单 的 练习 来 了 解 “ 修 改 陷阱 标志 进行 反 调试 ”的 工作 原理 。 首 先 在 OllyDbg 调 试 

器 中 打开 示例 程序 (DynAD_SingleStep.exe )， 转 到 401000 地 址 处 ， 如 图 52-15 所 示 。 






PLISH EBP 
MOU EBP,ESP 
PUSH EBX 
PUSH DynAD_S i. 004099A0 ASCII "Trap Flag (Single Step)^n" 
POD E P Si.00401087 
PLISH H DunRD. Si. 00401036 SE handler installation 
PUSH DWORD PTR F :[01 















E B8 FFFFF| MOU ERX,-1 
86481634 Ü MP El 


aa4o01836 1 MOU EAX, DWORD PTR SS: LESP4C] Structured euception handler 
na4aiasE||. MOU EBX, DynAD_Si. 00401604A 
0049104801] . 1 MOU DWORD PTR DS: [EAX+BS], EBX 
nao4o1847||. XOR EAX, EAX 


00401049 TH 
PoR PSP a PTR FS:[0] 


FUSH DynAD_S i. 004099BC ASCII " => Not debugging... n^n" 
CALL DynAD_Si. 00401087 

ADD ESP,4 

EBX 

POP EBP 

RETN 











图 52-15 ”DynAD_SingleStep.exe 代 码 


下 面 对 重 要 的 程序 代码 进行 说 明 。 








; 注册 SEH 

00401011 PUSH DynAD Si.00401036 ; new SEH(401036) 
00401016 PUSH DWORD PTR FS:[0] 

0040101D MOV DWORD PTR FS:[0],ESP 


; 因 无 法 直接 修改 EFLAGS， 故 通过 栈 修改 


00401024 PUSHFD ; 将 EFLAGS 寄 存 器 的 值 压 入 栈 
00401025 OR DWORD PTR SS:[ESP],100 ; 将 TF 位 设置 为 1 
0040102D POPFD ; 将 修改 后 的 TF 值 存 入 EFLAGS 


; 执行 下 列 指令 后 触发 EXCEPTION SINGLE STEP 
; 1) 车 为 正常 运行 ， 则 运行 前 面 注 册 过 的 SEH (401036) 
; 2) 若 为 调试 运行 ， 则 继续 执行 以 下 指令 

0040102E NOP 


; 调试 运行 时 继续 运行 以 下 代码 
0040102F MOV EAX,-1 
00401034 JMP EAX 


从 上 述 代码 可 以 看 出 ， 因 无 法 直接 修改 EFLAGS 寄 存 器 的 值 , 故 使 用 PUSHFD/POPFD 指 令 与 


OR 运 算 指令 修改 陷阱 标志 的 值 。 
在 OllyDbg 调 试 器 中 继续 运行 程序 代码 到 40102E 地 址 处 ， 如 图 52-16 所 示 。 


er I] 
8040610091 
pBo40910603] . 
8984910041 . 
GSa4diDOSs| . 
ga48IBBHE| . 
0090491011] . 
0481016) . 
GG48iDIDI . 























55 PUSH EBP 
. SBEC MOU EBP,ESP 
PUSH 
68 A0294 PUSH DynAD_Si, 004099A0 
ES 79000 CALL E Si.8804018087 


68 36104 PUSH DunRD Si.080401036 
64:FF35 | PUSH DWORD Baki FS: [0] 
: pe proni D PTR FS: t6 ,ESP 





EIP 80401062E D RD. 















FS BB3B 3 
T1 GS poon NULL 
08 LastErr ERROR, 
EFL 008000312 (HO,Hi 
STG empty -UBDRH Di 

s 9,0 










JMP 
MoU ERK, DWORD Es 人 
MOU EBX, DynAD_Si. 00 

nog BHORD E BS: CERES], EBX 
















@0401049|L: 


图 52-16 设置 TF 


从 寄存 器 窗口 可 以 看 到 ，EFLAGS 寄 存 器 ( EFL) 的 值 已 经 被 修改 为 312， 陷阱 标志 已 成 功 设 
置 为 1 (我 的 系统 环境 下 ，EFLAGS 的 初始 值 为 212 )。 从 现在 开始 ，CPU 进 入 单 步 执行 模式 。 下 
面 执行 40102E 地 址 处 的 NOP 指 令 (使 用 StepInto(F7)、StepOver(F8)、Run(F9) 中 的 任意 一 个 )。 

如 预想 的 一 样 ， 发 生 了 EXCEPTION SINGLE _STEP 异 常 ， 如 图 $2-17 所 示 。 

提示 下 
CPU 在 单 步 执行 模式 (陷阱 标志 值 为 1 ) 下 执行 1 条 指令 (不管 何 种 指令 ) 就 会 
触发 EXCEPTION SINGLE STEP 异常 。 为 了 方便 ， 我 们 在 示例 中 使 用 了 1 个 字 节 的 
NOP 指令 。 


观察 图 $2-17 中 的 寄存 器 窗口 可 以 发 现 ， — eia (EFL) 的 值 又 变 为 了 212。 也 就 是 
说 ， 单 步 执行 模式 下 ，CPU 执 行 完 1 条 指令 后 ， 陷 阱 标志 即 被 自动 清 零 ( 0 )。 这 也 意味 着 CPU 在 
发 生 EXCEPTION SINGLE : ua E 如 图 所 示 ， 发 生 异 常 时 ， 若 程 
序 进 程 非 调试 运行 ， 则 运行 SEH 执 行 正常 代码 ; 若 程序 进程 处 于 调试 中 ， 则 无 法 转 到 SEH， 继 续 
执行 40102F 地 址 处 的 指令 。 在 40102F 地 址 处 执行 StepInot(F7) 命 令 ， 调 试 继续 进行 ( 请 注意 陷阱 
标志 已 经 清 零 了 )。 然 后 执行 401034 地 址 处 的 JMP EAX ( 0xFFFFFFF ) 指令 ， 进 程 非 正常 终止 
程序 的 运行 就 像 这 样 被 分 为 正常 运行 与 调试 运行 。 
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E40169E | . 83C4 84 RDD ESP,4 
ae 1| . 68 36104000 | PUSH DynAD_Si. 00491036 

: 64:FF35 9998| PUSH DWORD PTR FS:L@l i 
64:8925 9896| MOU DWORD PTR FS: C0], ESP GB4QCRAB DonnD Si, 
9c PUSHFD roago 
36:810C24 ØO OR DWORD PTR SS:LESP1, 106 
s0 POPFD 


30 NOP 


8 — ] 
Int 


86:8B4424 ØC| MOU EAX, DWORO PTR SS: [ESP+C1 Structured exception hz 
BB 4A104000 | MOU EBX, DynAD_S i. 00406104A 
3E:8998 B888( MOU DWORD PTR DS: [ERX+ES],EBX 
saca XOR EAX, EAX 

ca RETN 

64: 8F0S GOGOI FOP DWORD PTR FS:[5] G612FFBQ 
83C4 04 ADD ESP,4 
68 BC994000 |PLSH DvunRD_Si.0084099BC ASCII " => Not debuggi 
ES 29000000 i CALL DynAD Si, 00401087 

















图 52-17 触发 EXCEPTION_SINGLE STEPH% 





提示 
以 上 示例 代码 要 了 个 “陷阱 标志 ”花招 ， 使 进程 终止 执行 。 有时， 程序 中 可 能 会 
包含 大 量 类 似 的 伪 代 码 来 迷惑 代码 逆向 分 析 人 员 。 他 们 调试 程序 时 甚至 都 不 会 发 现 自 
已 已 经 遭受 反 调 试 技术 的 误导 ， 陷 入 伪 代 码 调试 的 迷雾 。 经 过 相当 一 段 时 间 的 调试 后 
才 猛 然 发 现 有 些 不 对 劲 ， 再 回 过 头 去 寻找 迷途 之 处 可 就 不 容易 了 。 有 些 程序 中 存在 着 
很 多 类 似 “ 花 招 " ， 从 精神 和 肉体 上 折磨 着 代码 北向 分 析 人 员 ， 防 止 他 们 调试 程序 。 





@ 破解 之 法 
首先 ， 修 改 OllyDbg 调 试 器 选项 ( 忽略 EXCEPTION SINGLE _STEP 异 常 )， 让 被 调试 者 直接 


处 理 EXCEPTION SINGLE _STEP 异 常 ， 如 图 $2-18 所 示 。 


ebugging options 
Commands | Disasm | CPU 
Security | Debug | Events 
ÍV Ignore memory access violations in KERNEL32 


lanore [pass to program) following exceptions: 
f^ INT3 breaks 


T^ Integer division by 0 
[^ Invalid or privileged instruction 
T^ AI FPLI exceptions 


[^ Ignore also following custom exceplions or ranges: 


Add last exception | 
Add range | 
Delete selection | 





Undo | Cancel | 


图 52-18 忽略 EXCEPTION_SINGLE_STEP 异 常 
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然后 ， 在 注册 SEH 的 地 址 处 ( 401036 ) 设置 断 点 。 执 行 40102E 地 址 处 的 指令 后 ， 调 试 器 就 会 
停 在 SEH 的 断 点 处 。 在 新 的 EIP 地 址 处 再 次 设置 断 点 , 接着 运行 即 可 跟踪 正常 代码 (参考 图 5$2-19 )。 


20401024 













SC PUSHFD ` 
36:816C24 66619695 DR DWORD PTR SS:[ESPJ, 100 
SD POPFD 


30 N 
BB FFFFFFFF MOU ERM,-1 
FFEB y 


JMP EAX 
Mea oe Y DWORD pu SS LESP CIMA 
BB 4A104000 MOU EBX, DynAD_Si 
3 dis Bsaanaaa noy DGD PTR DS: [ERX+B81, EBX 









pp491949[L: 


B481851| . 
ne4pgic4)] . 68 BC9948088 PUSH DynAD_S i. 00040996C 
00401059] . ES 29000000 EUN Banho Si. 0ġ401087 
BO4010CE; . 83C4 04 D ESP 

88491061| . SB POP EBX” 

00401062] . SD POP EBP 

00401062] . C3 RETN 


c3 REIN 
S4:8Fa5 DOBDDDBB FoP ge PTR FS:[6] 











图 $2-19 ESE Handler 5jinew EIP 处 设置 断 点 


52.4.2 INT 2D 


INT2D 原 为 内 核 模式 中 用 来 触发 断 点 异常 的 指令 , 也 可 以 在 用 户 模式 下 触发 异常 。 但 程序 调 
试 运 行 时 不 会 触发 异常 ， 只 是 忽略 。 这 种 在 正常 运行 与 调试 运行 中 表现 出 的 不 同 可 以 很 好 地 应 用 
` 下 面 调试 INT 2D 指 令 ， 了 解 其 儿 个 有 趣 的 特征 。 


忽略 下 条 指令 的 第 一 caca 
PUER PAK TEINT 2D 指 令 后 ( StepInto/StepOver )， 下 条 指令 的 第 一 个 字 节 将 被 忽略 ， 


后 一 个 字 节 会 被 识别 为 新 的 指 令 继续 执行 ， 如 图 52-20 所 示 。 





HOU ERX,5DEB 
LER EBX,DWORD PTR DS:[EAX] 
ADD EBX,18 


图 $2-20 ”执行 INT 2D 前 的 正常 指令 


图 $2-20 中 ,40101E 地 址 处 的 INT2D 指 令 ( CD 2D AUT 5 ,4010203t: EA MOV EAX,SDEB 
指令 ( B8 EBSD0000) 中 ， 第 一 个 字 节 B8 将 被 忽略 ( 参考 图 52-21 )。 


JMP SHORT 8858188 
ADD BYTE PTR DS:[ERX],RL 
LER EBX,DUORD PTR DS:[EñX] 
[ADD EBX ,18 


图 $2-21 INT 2D 指令 执行 后 变化 的 指令 








890501025 
884681827 





最 终 ，401021 地 址 处 的 指令 被 重新 解析 为 2 条 指令 : IMP 401080 (EB 5D), ADD BYTE PTR 
DS:[EAX],AL (0000), 它们 完全 不 同 于 原 指令 MOV EAX,5DEB ( B8 EB5D0000 ), 像 这 样 ， 基 于 
INT2D 的 反 调试 技术 能 够 形成 较 强 的 代码 混淆 (Obfuscated Code ) 效果 ， 从 而 在 一 定 程度 上 防止 
代码 逆向 分 析 人 员 调 试 程序 。 

提示 一 一 
改变 代码 字 节 顺序 (Code Byte Ordering ) 扰乱 程序 代码 的 方法 称 为 代码 混 消 技术 ， 
该 技术 常用 于 动态 反 调 试 技术 。 


2. 一 直 运 行 到 断 点 处 
INT2D 指 令 的 另 一 特征 是 ， 使 用 StepInto(F7) 或 StepOver(F8) 命 令 跟 踪 INT2D 指 令 时 ， 程 序 不 
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会 停 在 其 下 条 指令 开始 的 地 方 ， 而 是 一 直 运行 ， 直 到 遇 到 断 点 ， 就 像 使 用 RUN(F9) 命 令 运行 程序 
一 样 。 

人 
以 上 只 是 INT2D 指令 在 OllyDbg 调试 中 表现 出 的 特征 , 它 在 其 他 调试 器 中 的 行为 
咯 有 不 同 。 在 OllyDbg 调试 中 执行 INT2D 指令 后 , 程序 不 会 单 步 暂停 , 而 是 一 直 运 行 。 
原因 在 于 ,执行 完 INT2D 指令 后 ， 原 有 的 代码 字 节 顺序 被 打 乱 了 。 也 就 是 说 ， 若 指令 
在 程序 执行 过 程 中 改变 , 则 程序 不 能 单 步 暂停 , 而 是 一 直 执行 ,可 以 将 其 视 为 一 种 Bug。 
所 以 执行 完 INT2D 指令 后 ， 要 想 停止 跟踪 代码 ， 需 要 事先 在 相应 地 址 处 设置 断 点 。 








练习 : DynAD_INT2D.exe 
为 了 帮助 各 位 进一步 了 解 基于 INT 2D 的 反 调 试 技术 工作 原理 ， 下 面 做 个 简单 的 调试 练习 
( DynAD_INT2D.exe )。 首 先 在 调试 器 中 打开 示例 程序 ， 转 到 401000 地 址 处 ， 如 图 $2-22 所 示 。 


B042100D1 SBEC MOU EBP,ESP 
4061003 51 PUSH ECX 
C745 FC 8886888688 | MOU DWORD FTR SS: IEBP-41, G 
E| . 68 2A104000 PUSH 40102A SE handler installation 
. 64:FF3S B8886888 | PUSH dnd PTR FS: [81 
7| . 64:8925 anaaaaaa | MOY DWORD PTR FS:[01,ESP 
CD 20 Au zü 


. 90 

. Cr45 FC 818886880 HoU DWORD Era TY qasa da 

.« EB Hm JMP SHORT 0049 A 
36:8B4424 ØC MOU EAX, DWORD TR "eer CESPIC] Structured euception handler 

. SE:C?88 BS0D0000 | MOU DWORD PTR DS: ERR Ds STOART 

. peia FC 00000000 | MOU DWORD PTR SS:[EBP-4 

XOR EAX, EAX 














DOR RE 
64:8F05 BOBABBBA | POP em PTR FS:[81 Remove SE Handler 
: 68 naso4nna PUSH 4059nə ASCII "Trap Flag (INT 2D)wn" 
: ES 4F000000 CALL 994819R7 -> printf() 
. 8370 FC 00 CHP DWORD PTR S8:0EEP-41,6 
jw 74 OF CE SHORT ep4B 1878 
1| . 68 B4994900 PUSH 4099B4 ASCII " => Debuggingtt*snsn” 
5| . Eš sCcaüeaün CBLL 0040107 -> print£() 
S3C4 A4 ñ ; 
:~ EB ØD JMP SHORT 00401070 
> 68 C8994000 PUSH 409308 ASCII " => Not debugging. ..5n5n” 
5| . EB_z05D6665 CALL ae4alanz -> print£(] 
B H| . 83C4 84 ESP,4 | 
B848127D| > 8BES MOU ESP, EBP I 
BBaBlüvF! . SD POP EBP 
amqeiüsd. . C3 ETH 


图 52-22 DynAD _INT2D.exe 代 码 


程序 正常 运行 〈 非 调试 运行 ) 时 ， 执 行 完 40101E 地 址 处 的 INT 2D 指 令 后 ， 发 生 异 常 ， 转 去 
运行 SEH (40102A )。 在 异常 处 理 器 中 先 把 EIP 值 修改 为 401044， 然 后 将 [EBP-4] 变 量 ( 局 部 变量 
[EBP-4] 是 BOOL 类 型 变量 ,用 来 检测 是 否 存在 调试 器 ) 的 值 设 置 为 0 ( FALSE )。 然 后 转 到 401044 
地 址 处 继续 执行 ， 最 后 执行 40105B 地 址 处 的 CMPAE 条 件 分 支 指令 ， 向 控制 台 输 出 字符 串 ( “Not 
Debugging”)。 

程序 调试 运行 时 , 执行 INT2D 指 令 后 不 会 运行 SEH, 而 是 跳 过 1 个 字 节 ( 90 ), 继续 执行 401021 
地 址 处 的 MOV 指 令 ， 将 [EBP-4] 变 量 设置 为 1 (TRUE )， 然 后 跳 转 到 401044 地 址 处 继续 执行 ， 向 
控制 台 输 出 “Debugging” 字 符 串 。 可 用 图 52-23 简 单 表示 上 面 2 个 执行 过 程 。 

@ 破解 之 法 

我 们 可 以 从 以 上 练习 示例 中 看 到 ，401044 地 址 到 40105B 地 址 ( 条件 分 支 指令 ( CMP/JE ) [8] 
的 代码 都 会 被 执行 ,所 以 只 要 简单 修改 代码 即 可 破解 这 种 反 调试 技术 ,但 实际 的 程序 调试 过 程 中 ， 
有 时 必须 跟踪 SEH 逐 行 调试 代码 ， 此 时 就 需要 一 种 方法 使 程序 执行 到 SEH。 利 用 陷阱 标志 人 能够 使 
程序 轻松 进入 SEH 执 行 。 

首先 ,设置 OllyDbg 调 试 器 的 选项 ， 使 之 忽视 EXCEPTION_SINGLE_STEP 异 常 ， 如 图 52-18 
所 示 。 然 后 运行 程序 至 40101E 地 址 处 ， 如 图 $2-24 所 示 。 











Install 
40100B SE Handler 
40101E 

SE Handler 
40102A EIP = 401044 
[EBP-4]- 0 
401044 Remove 
SE Handler 
CMP \ JE 
if [EBP-4]== 
40105B JMP 401061 
else 
JMP 401070 
401070 | “NotDebugging” 


图 $2-23 ”正常 运行 与 调试 运行 
如 图 52-24 所 示 ， 调试 器 在 40101E 地 址 的 INT2D 指 令 处 暂停 ,然后 在 要 


SEH 人 处 (40102A ) 设置 断 点 。 







55 

SBEC 

51 

Cr45 FC 866888 


8040610800 
aa 

PUSH_ECX 
MDU YG 


MOY DWORD 





36:8B4424 ØC 
3E:C780 B888 
C745 FC gga 
33C8 

ca 


MOU DWORD 
MOU DWORD 
















PUSH EBP 
MOY EBP,ESP 






MOU ERX,DWORD PTR SS: [ESP+C] 


{XOR ERX,ERX 
RETN 


52.4 
40100B Instal! 
SE Handler 
40101E 


401021 [EBP-4]=1 


401044 


Remove 
SE Handler 


CMP \ JE 


if [EBP-4]==1 
JMP 401061 

else 

JMP 401070 


“Debugging” 


的 代码 流 


40105B 


401061 





ARAM 


Hu E 


PTR SS: [EBP-41,G 


64:8925 OBOA PTR FS I 
ee à — 8| DunRD IN. 004825F8 

98 P kernel32.7C839RC8 

L745 FC B188Bl HOU DWORD PTR SS:LEBP-41,! 

EB 1A JMP SHORT 00401044 


PTR DS: [ER#+B81, 00401044 
PTR SS: [EBP-4], 6 





图 $2-24 ”执行 INT 2D 指 令 之 前 
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的 (已 注册 过 的 ) 









如 图 56-25 所 示 ， 双 击 TF 或 修改 EFL 值 ( +0x100 )， 将 TF 设置 为 1。 从 现在 开始 ，CPU 进 入 单 
步 执 行 模式 。 单 步 执 行 模式 下 ，CPU 执 行 1 条 指令 即 触 发 异常 ， 然 后 进入 SEH 处 理 ( 请 参考 前 面 
介绍 过 的 单 步 执行 示例 )。 接 下 来 ， 按 F7 键 (StepInto ) 或 F8 键 ( StepOver ) 执行 40101E 地 址 处 的 


INT 2D 指 令 。 


00303170 






Bal2zFF? 
Baaacaaaa 
7C940208 


00040101E 
ES 0023 





[52-25 










DynAD_IN. 0040CA18 


ntdll.7C940208 
Dyn AD_IN. 00401061E 


32bit B(FFFFFFFF) 
32bit @(FFFFFFFF) 
S2bit Q@(FFFFFFFF) 
32bit BLFFFFFFFF) 
32bit 7FFDDaaacFFF) 
NULL 


ERROR PROC NOT FOUND ( @8BƏBBB8087F1 


SF HO, HE, E, BE, HS, FE, GE, LE) 


寄存 器 窗口 : 设置 TF 
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虽然 执行 了 40101E 地 址 处 的 INT 2D 指 令 ， 但 并 未 发 生 异 常 ，TF 的 值 也 未 变 为 0 (在 前 面 的 
DynAD _SingleStep.exe 示 例 中 我 们 知道 ，CPU 在 单 步 模式 下 执行 1 条 指令 即 触发 异常 ， 且 TF 值 会 
清 零 )， 如 图 52-26 所 示 。 原 因 在 于 ，INT2D 指 令 原 为 内 核 指 令 ， 在 用 户 模式 的 调试 咒 中 不 会 被 识 
别 为 正常 指令 。 因 此 调试 器 在 401020 地 址 处 的 NOP 指 令 处 暂停 。TF=0 时 ， 跟 踪 INT 2D 指 令 后 ， 
其 下 条 指令 的 第 一 个 字 节 会 被 忽略 ， 程 序 继 续 执行 ; 但 TF=1 时 ， 其 后 面 的 1 个 字 节 不 会 被 忽略 ， 
代码 仍 被 正常 识别 。 接 下 来 ， 按 F7 键 ( StepInto ) 或 F8 键 ( StepOver) 执行 NOP 指 令 。 















gagal GAL 





IP 8840102068 DynAD_IN. 00401020 


P 
8 ES 0023 22bit @(FFFFFFFF) 
1 CS 081B 32bit @(FFFFFFFF) 
8 SS 0823 32bit G(FFFFFFFF) 
1 DS 0023 32bit G(FFFFFFFF) 
FS 003B 32bit vFFDFOBAtFFF) 
| GS 0000 NULL 
Ü 8 LastErr ERROR PROC NOT FOUN 
EFI NO, HB, E, BE, NS, PE, G 
TB UNORM Dans 61056104 à 
en empty 8. 8 


图 52-26 未 发 生 异 常 且 TF 值 未 变 


在 单 步 执行 模式 下 执行 正常 指 邻 NOP 后， 就 会 触发 异常 ， 调 试 暂 停 在 设 有 断 点 的 SEH 处 ， 同 
时 TF 值 清 零 ( 参考 图 52-27 )。 这 样 我 们 就 能 进入 指定 SEH 继 续 调试 了 。 


PUSH EBP 

MOU EBP,ESP 
n 

MOY DWORD PTR SS:LEBP-41,60 
Ecos PUSH 0040102n 


aj PUSH DWORD PTR FS:L83 
MOU DWORD PTR FS:[01,ESP 


















EIN "3s 
ORE SHORT 00401044 
DWORD SS: [ESP+ 


MOU EAX, PTR 

nen DWORD PTR DS: nca 55401044 
OU DWORD M SS:[EBP-41.6 

XOR ERX.E 

RETN 






Pagza Bc 
0 B3B 
FC 03004 n 
















58481043 







50481001 


B3B vit 
B888 NULL 
r ERROR PROC NOT FDUM 







28 Nr 
C745 FC 81884 MOU Enn EEA ire 1 


: DWORD PTR SS: [ESP+C] 
2É:C780 BS00(HOU DWORD PTR DS: LER «881, 80401044 
Ec FC DBBB PS E PE Em S8: LEBP-41, 6 















Ba4G1043 


图 52-27 发 生 异 常 且 TF 改 变 


52.5 OxCC 探测 


程序 调试 过 程 中 ， 我 们 一 般 会 设置 许多 软件 断 点 。 断 点 对 应 的 x86 指 令 为 “0xCC”。 若 能 检 
测 到 该 指令 ， 即 可 判断 程序 是 否 处 于 调试 状态 。 基 于 这 一 想法 的 反 调试 技术 称 为 “0xCC 探 测 ” 
技术 。 

提示 

我 们 需要 认真 思考 在 代码 中 查找 断 点 的 方法 。 因 为 0xCC 既 可 以 用 作 操 作 码 ， 也 

可 以 用 作 移 位 值 、 立 即 数 、 数 据 、 地 址 等 。 所 以 ,“ 在 进程 内 存 的 代码 区 域 中 只 扫描 

OxCC" 的 做 法 并 不 可 靠 。 








图 $2-28 中 ，010073AC 地 址 处 设置 了 断 点 。 虽 然 调 试 器 会 将 8B 视 作 操 作 码 ， 但 被 调试 进程 
的 实际 内 存 中 ，8B 已 被 修改 成 CC。 而 指令 的 移 位 值 中 也 存在 CC。 因 此 ， 单 纯 扫 描 CC 很 难 准确 
判断 断 点 。 


8B3D CC100001 MOU EDI ,DWORD PTR DS:[10018CC] 


Opcode Displacement 
ModR/M 


图 52-28 ”0xCC 用 作 移 位 值 
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52.5.1 API 断 点 


若 只 调试 程序 中 的 某 个 局 部 功能 ,一 个 比较 快 的 方法 是 先 在 程序 要 调用 的 API 处 设置 好 断 点 ， 
再 运行 程序 。 运 行 暂停 在 相应 断 点 处 后 ， 再 查看 存储 在 栈 中 的 返回 地 址 。“ 跟 踪 返 回 地 址 调试 相 
应 部 分 ”的 方式 能 够 大 幅 缩 小 代码 调试 范围 。 反 调试 技术 中 ， 探 测 这 些 设置 在 API 上 的 断 点 就 能 
准确 判断 当前 进程 是 否 处 于 调试 状态 。 一 般 而 言 ， 断 点 都 设置 在 API 代 码 的 开始 部 分 ， 所 以 ， 只 
要 检测 API 代 码 的 第 一 个 字 节 是 否 为 CC 即 可 判断 出 当前 进程 是 否 处 于 调试 之 中 。 
提示 
代码 逆向 分 析 人 员 常 用 的 API 列 表 大 致 如 下 : 


[进程 ] 

CreateProcess CreateProcessAsUser CreateRemoteThread 
CreateThread GetThreadContext SetThreadContext 
EnumProcesses EnumProcessModules OpenProcess 
CreateToolhelp32Snapshot  Process32First Process32Next 
ShellExecuteA WinExec TerminateProcess 
[内 存 ] 

ReadProcessMemory WriteProcessMemory VirtualAlloc 
VirtualAllocEx VirtualProtect VirtualProtectEx 
VirtualQuery VirtualQueryEx 

[文件 ] 

CreateFile ReadFile WriteFile 

CopyFile CreateDirectory DeleteFile 

MoveFile MoveFileEx FindFirstFile 
FindNextFile GetFileSize GetWindowsDirectory 
GetSystemDirectory GetFileAttributes SetFileAttributes 
SetFilePointer CreateFileMapping MapViewOfFile 
MapViewOfFileEx UnmapViewOfFile open 
write read  ]seek 
tell 

[寄存 器 ] 

RegCreateKeyEx RegDeleteKey RegDeleteValue 
RegEnumKeyEx RegQueryValueEx RegSetValue 
RegSetValueEx 

[网 络 ] 

WSAStartup socket inet_addr 
closesocket getservbyname gethostbybname 
htons connect inet_htoa 

recv send HttpOpenRequest 
HttpSendRequest HttpQueryInfo InternetCloseHandle 
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InternetConnect 
InternetOpenUrl 


[其 他 ] 
OpenProcessToken 
OpenSCManager 
ControlService 
SetServiceStatus 
OpenMutex 
GetProcAddress 
OutputDebugString 
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InternetGetConnectedState 
InternetReadFile 


LookupPrivilegeValue 
CreateService 
DeleteService 
QueryServiceStatusEx 
FindWindow 
GetModuleFileNameA 





InternetOpen 
URLDownloadToFile 


AdjustTokenPrivileges 
OpenService 
RegisterServiceCtrlHandler 
CreateMutex 

LoadLibrary 
GetCommandLine 





下 面 以 保存 文件 时 使 用 的 kernel32!CreateFileW() API 为 例 , 向 各 位 介绍 基于 API 断 点 检测 的 反 
调试 方法 。 首 先 ， 在 OllyDbg 调 试 器 中 单 击 鼠标 右键 ， 依 次 选择 Search for -Name in all modules 


单 ， 如 图 $2-29 所 示 。 





Search for 
Find references to 


Mhow 





Name in all modules 


€ 
| 





[452-29 Search for - Name in all modules 菜 单 


选择 Name in all modules 菜 单 后 ， 在 All name 对 话 框 中 双击 CreateFileW() API， 然 后 按 F2 键 在 
， 如 图 52-30 所 示 。 


API 代 码 的 开始 处 设置 好 断 点 





768187F2 
7C8187F3 




























768187F5 

708187F8 

TC8197FB N names 

768107FCU 

70810802 [ss bs SESS a aus 

7810883 7D5815BC SHELL 

7C818889 7E8C1188 USERENU KERNEL32.CreateFileW 
7C8188 8A 4B541668 imekr61 BDI32.CreateFontf 
76810818 ?3F81868 USP18 6D132.CreateFontf 
76810817 75111878 msctfime . 6D132.CreateFontf 
7C818818 77ENBCÓ68 GDI32 CreateFontñ 

7C81881B 77E718DC SHLURPI 6DI32.CreateFontü 
7C81881C 7D581158 SHELL32 6D132.CreateFontá 
7C81881D 73F818A8 USP18 &D132.CreateFontIndirecth 















[452-30  fEAII names 对 话 框 查找 API 后 设置 断 点 
这 样 就 在 API 代 码 开 始 的 第 一 个 字 节 设置 好 了 断 点 〈 虽 然 在 调试 器 中 未 看 到 代码 发 生 改 变 ， 


但 其 实 API 代 码 开始 的 第 一 个 字 节 


检测 代码 的 第 一 个 字 节 ， 
e 破解 之 法 


已 被 改 为 CC )。 然后 获取 kernel32!CreateFileW0QO API 的 起 始 地 址 
即 可 判断 进程 是 否 处 于 调试 之 中 。 


针对 上 面 这 种 反 调 试 技术 的 行 之 有 效 的 方法 是 ,向 系统 API 设 置 断 点 时 尽量 避 开 第 一 个 字 节 ， 
将 之 设置 在 代码 的 中 间 部 分 ( 图 52-30 中 将 断 点 设置 在 7C8107F2 之 下 ) 此 外 , 设置 硬件 断 点 也 能 


避 开 上 面 这 种 反 调 试 技术 。 
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52.5.2 ”比较 校 验 和 


检测 代码 中 设置 的 软件 断 点 的 另 一 个 方法 是 ， 比 较 特 定 代码 区 域 的 校 验 和 (Checksum ) 值 。 
比如 ， 假 定 程序 中 401000~401070 地 址 区 域 的 校 验 和 值 为 0x12345678， 在 该 代码 区 域 中 调试 时 ， 
必然 会 设置 一 些 断 点 ( 0xCC )， 如 此 一 来 ， 新 的 校 验 和 值 就 与 原 值 不 一 样 了 。 像 这 样 ， 比 较 校 验 


和 值 即 可 判断 进程 是 否 处 于 调试 状态 (参考 网 52-31 )。 


00401000 

00401001 

00401003 

00401004 

00401005 

00401006 68 A0994000 
0040100B C745 FC 00000000 
00401012 E8 70000000 
00401017 83C4 04 
0040101A B9 70104000 
0040101F BE 00104000 





0x12345678 





0xD71A5CA2 


图 52-31 ”比较 校 验 和 值 判断 进程 是 否 被 调试 


@ 练习 : DynAD Checksum.exe 


计算 校 验 和 来 检测 软件 断 点 是 和 常用 的 反 调试 技术 之 一 ,下 面 做 个 简单 的 调试 练习 ,帮助 各 位 
理解 该 反 调 试 技术 的 工作 原理 。 在 OllyDbg 调 试 器 中 打开 示例 程序 ita ), 3Ë 


转 到 401000 地 址 处 ， 如 图 $2-32 所 示 。 










区 
0040165602 
Ba4aipd4 
00401005 . 
Ga4alügd6 | 

E 





PUSH ECX 
E EBX 


56 PUSH ESL 
68 A0994000 PU 409' 








ES raaaaoaoa CALL 0040 
83C4 84 RDD 





SAAIE 
IEF 





BE 00104000 | MOU ESI,4081000 









DICA 
46 








C745 Bia 

8370 FC 00 

5E POP ES 
5B POP EM 


68 AC394000 | PUSH 
ES 31000000 oe poania? 
3C4 84 


SBES FOU ESP; EBP 
PüP EBP 





G046106S9 
ñe4610SË 
tena 1 GSC 
Gaa LASD 






. RETN 
> 68 C0994000 | PUSH 4099C0 
. ES 2080000000 SSE 和 7 






83C4 A4 ADO ESP, 4 
SBES Hou ESP! EBP 
SD PüP EBP 

c3 RE 

CC INTS 

C INTS 


É z 
ES SBFFFFFF | CALL 0401006 
33C9 pum EAX, EAR 





BB4nlü75 £ 
Ga461077 . C8 








C745 FC agag MO Ü DWORD | ETE SS: LEBP-41,6 


ESP,4 
B9 70104000 |MOU ECX, doiere 


Ga4pipe 2BCE SUB ECX, ESI 
s3ca XDR EHX,ERX 
i|. 33DB XOR EBX, EBX 
A |> 3E:0FB61E MOUZ* EBX, BYTE PTR DS:[ESI] 
. aca EBR 


Ho 
CHP pss PTR SS: [EBP-41,6 


A i|: 7411 JE SHORT 00401050 
4099A 





ASCII "Checksumsn” 
=> [EBP-4] : bDebugging 
printf() 


ECX : loop count = Bx78 










ASCII " => Debuagingttt*n^n" 
printf() 


ASCII " => Not debusgina...^n^n' 
printf() 


# maini) 


图 52-32 DynAD Checksum.exe[V fij 
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如 图 52-32 所 示 ， 程 序 的 核心 代码 是 求 校 验 和 值 的 循环 ( 位 于 40102A 地 址 处 )， 及 其 下 方 的 
CMP/ 正 条 件 分 支 指令 ( 位 于 401035 地 址 处 )。 先 分 析 一 下 求 校 验 和 值 的 循环 。 
0040102A M0VZX EBX,BYTE PTR DS:[ESI] 
0040102E ADD EAX,EBX 
00401030 ROL EAX,1 


00401032 INC ESI 
00401033 LOOPD SHORT 0040102A 


40102A 地 址 处 ESI 的 初始 值 为 401000 (参考 40101F 地 址 处 的 MOV 指 令 )， 而 ECX 被 用 作 Loop 
Count ( 循环 计数 )， 其 值 为 70 (参考 401024 地 址 处 的 SUB 指 令 )。 代 码 中 的 循环 用 来 计算 
401000~40106F 区 域 的 校 验 和 值 ， 先 读 取 1 个 字 节 值 ， 再 执行 ADD 与 ROL 指 令 计 算 ， 然 后 将 值 保 
存 到 EAX 寄存 器 〈 循环 次 数 就 是 循环 计数 )。 

TEn emmm 
求 代码 缓冲 区 之 校 验 和 的 方法 多 种 多 样 ， 也 有 众多 可 应 用 的 算法 ， 只 要 验证 相关 
内 存 区 域 当前 的 校 验 和 值 与 原 值 是 否 一 样 即 可 。 实 际 运用 中 通常 会 使 用 CRC32( Cyclic 
Redundancy Check， 循 环 宛 余 校 验 ) 算法 ， 它 检 错 能 力 强 ， 运 算 速 度 快 。 


像 这 样 求 得 校 验 和 值 后 ， 接 下 来 要 将 其 与 原 值 比 较 ， 并 执行 条 件 分 支 语句 。 


00401035 CMP EAX,DWORD PTR DS:[40BDC0] 
0040103B JE SHORT 00401044 


在 上 面 循环 中 求 得 的 当前 校 验 和 值 被 保存 到 EAX 寄存 器 ， 程 序 开 发 时 计算 的 校 验 和 值 保 存在 
[40BDC0] 中 。 比较 它 们 , 若 不 同 , 则 表明 401000~40106F 代 码 区 域 中 设 有 断 点 , 或 者 代码 已 被 修改 。 

@ 破解 之 法 

从 理论 上 讲 ， 只 要 不 在 计算 CRC 的 代码 区 域 中 设置 断 点 或 修改 其 中 代码 , 基于 校 验 和 的 反 调 
试 技术 就 会 失效 。 但 这 本 身 也 可 能 成 为 反 调试 技术 密 刨 的 地 方 ( 因为 调试 变 得 更 加 困难 )。 因 此 ， 
最 好 的 破解 方法 是 修改 CRC 比 较 语句 。 比 如 在 前 面 的 示例 中 , 只 要 将 40103B 地 址 处 的 指令 修改 为 
JMP 40105D 即 可 。 当 然 也 可 以 在 调试 器 中 强制 修改 要 跳 转 ( JMP ) 的 地 址 。 与 其 他 反 调 试 技术 类 
似 , 基于 校 验 和 比较 的 反 调 试 代码 会 巧妙 隐藏 于 程序 各 处 ,可 能 存在 数 十 个 乃至 数 百 个 比较 校 验 
和 的 代码 ， 这 大 大 增加 了 破解 难度 ， 调 试 自然 也 变 得 困难 多 了 。 
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本 章 将 与 各 位 一 起 学 习 高 级 反 调 试 技术 (Advanced Anti-Debugging )， 这 些 技术 大 量 应 用 于 
各 种 著名 的 程序 保护 器 。 下 面 调试 示例 程序 来 了 解 各 种 高 级 反 调试 技术 ,相信 各 位 的 水 平 会 得 到 
很 大 提高 


53.1 ”高 级 反 调试 技术 


PE 保护 器 中 使 用 的 高 级 反 调试 技术 有 一 些 共同 特征 , 如 技术 难度 较 高 等 , 令 代码 逆向 分 析 人 
员 身 心 俱 疲 。 

应 用 了 这 些 高 级 反 调试 技术 的 程序 包含 大 量 垃圾 代码 、 条 件 分 支 语句 、 循 环 语句 、 加 密 / 解 
密 代码 以 及 “ 深 不 见 底 ” 的 调用 树 ( Call-Tree )， 代 码 逆 向 分 析 人 员 一 旦 陷入 其 中 便 会 迷失 方向 ， 
根本 无 法 访问 到 实际 要 分 析 的 代码 ,只 是 在 无 关 紧要 的 地 方 徘徊 。 这 些 混乱 加 上 代码 中 动态 反 调 
试 技术 的 干扰 ， 使 代码 逆向 分 析 人 员 处 于 束手无策 的 尴 往 境地 。 

当然 , 这 并 不 是 说 调试 全 无 可 能 ,只 是 说 调试 的 难度 大 大 增加 了 。 对 于 一 名 经 验 丰 富 的 代码 
逆向 分 析 人 员 而 言 , 分 析 PE 保 护 右 也 是 一 个 非常 棘手 的 问题 , 需要 花费 大 量 的 时 间 与 精力 。 而且， 
“完美 分 析 ” 本 身 就 是 极其 艰巨 的 任务 。 

本 章 将 向 各 位 介绍 几 种 典型 的 高 级 反 调 试 技术 , 激 起 大 家 的 学 习 兴 趣 ， 从 而 帮助 各 位 进 一 步 
提高 自身 的 调试 水 平 。 


53.2 垃圾 代码 


向 程序 添加 大 量 无 意义 的 代码 来 增加 代码 调试 的 难度 ,这 就 是 “垃圾 代码 ” 反 调 试 技术 。 尤 
其 是 , 这 些 垃圾 代码 中 还 含有 真正 有 用 的 代码 或 者 应 用 其 他 反 调 试 技术 时 , 调试 程序 会 变 得 更 加 
困难 。 图 $3-1 显 示 的 是 垃圾 代码 (Garbage code ) 示例 之 一 。 

图 $3-1 所 示 的 代码 中 ， 一 些 指 令 ( PUSH/POP, XCHG, MOV ) 拥有 相同 的 操作 数 ， 最 终 执 
行 的 是 一 些 毫 无 意义 的 运算 ( 命令 执行 后 没有 什么 变化 )。 

图 $3-2 的 示例 二 的 垃圾 代码 利用 SUB 与 ADD 指 令 为 EBX 设 置 值 ， 最 后 执行 4041A0 地 址 处 的 
JMP EBX 指 令 。 除 此 之 外 ， 其 余 指 令 全 部 都 是 垃圾 代码 ， 原 本 用 1 条 JMP XXXXXXXX 指 令 即 可 
实现 操作 ， 结 果 却 用 了 很 长 、 很 复杂 的 代码 来 实现 。 

jk— ss A E 
以 上 示例 代码 非常 简单 ， 调 试 过 程 中 很 容易 跳 过 它们 。 但 是 实际 的 垃圾 代码 往往 
具有 精巧 又 复杂 的 形态 ， 含 有 大 量 条 件 分 支 语 各 和 无 尽 的 函数 调用 ， 想 要 跳 过 它们 并 
非 易 事 。 





E 
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8858B2D3 
894882D5^ 
885882D6 
894 882D8 
8058B2D9 
80468208 
60408200 
88684882E 
894082E3 
885 0B2E5 
BühüB2EG 
984 0B2E7 
88050B2E8 
085882E9 
8858B2EB 
ü858B2ECU 
B858B2EE 
8805 8B2EF 
G84882F 0 
6848B2F1 
88058B2F&4 
8854 8B2F5 
0858B2F7 
8948B2F9 
88H 8B2FR 
8848B2FB 
88548B2FD 
88A58B2FF 
88488381 
8904683862 
8084868383 












80408412D 
88585130 
88505136 
806404139 
88565138 
88585130 
884909413E 
06404144 
BB485156 
88585159 
8650514F 
8985804155 
885605158 
80040415D 
00640415F 
885854165 
80565168 
60505168 
86640415C 
88585172 
80585175 
80949417B 
88498417D 
69840417E 
896505185 
88505186 
804854188 
885 68518F 
88505195 
58585197 
88486419D 


52 
8702 
87F6 
5A 
87E4 
87D2 
8FñFFE 
eFC1F1 
89E^ 
53 

5B 

56 

55 
89caü 
5D 
87F6 
5E 

58 

55 
C1D6 45 
90 
87DB 
D1D6 
52 

5A 
87C9 
87D2 
87FF 
F2: 

58 
89E4 





89408305 | 








88505106 
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熟悉 了 IA-32 指 令 后 ， 巧 妙 编写 汇编 代码 即 可 干扰 调试 器 的 反 汇 编 结 果 ， 


会 乱 作 一 团 ， 如 图 $3-3 所 示 。 


F7D6 


图 53-1 


ercec2 
81EB 94200000 
BeFhFC8 
85DA 
87C8 
53 
81C3 E7020000 
D1D1 
OFB7FD 
69FE 1C6F7661 
81C3 19050008 
OFBECÓ 
25 3COF9601 
88F0 
81C3 9E0E0000 
OFA5C1 
8BCD 
D101 
81EB 88040000 
BFASF7 
F7C3 EFF6E128 
FECR 
53 
81EB 75050861 
Orco 
BFBAFF 4C 
B9 DC2F3621 
8103 5FF^0701 
F6D8 
C7C1 FCCF56C1 
BFC 8C2 

- FFE3 


图 53-2 














PUSH EDX 
XCHG EDX,EDX 
XCHG ESI,ESI 
PUP EDX 

XCHG ESP,ESP 
XCHG EDX,EDX 
INUL EDI,ESI 
XRDD ECX,ESI 
MOU ESP,ESP 
PUSH EBX 

POP EBX 

PUSH ESI 
PUSH EBP 

MOU ERX,ERX 
POP EBP 

XCHG ESI,ESI 
POP ESI 

PUSH EAX 
PUSH EBP 

REL ESI ,5#5 
NOP 

XCHG EBX,EBX 
RCL ESI,1 
PUSH EDX 

POP EDX 

XCHG ECX,ECX 
XCHG EDX,EDX 
XCHG EDI,EDI 
PREFIX REPNE: 
POP EAX 

MOU ESP,ESP 
NOT ESI 


垃圾 代码 #1 









XADD DL ,RL 


IMUL ECX,ERX 
TEST EDX,EBX 
XCHG ERX,ECX 
H 









RCL ECX ,1 
MOUZX EDI,BP 
IMUL EDI,ESI,61766F1C 





MOUSX ERX,DH 
AND ERX,1968F3C 
MOU ñL ,DH 





SHLD ECX,ERX,CL 
MOU ECX,EBP 





SHLD EDI,ESI,CL 
TEST EBX,28bE1F6EF 
DEC DL 





BTC EDI,^4C 
MOU ECX,21362FDC 





HOU ECX,C156CFFC 
XADD DL ñL 





垃圾 代码 #2 


反 汇 编 代 码 看 上 去 
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00415190F 
00515111 
90515112 






|RETN 8 







88515115 MOU DWORD PTR DS:[FF017268],ERX 
80641511A POP EBP 

00411511B XOR ECX,ECX 

88641511D 41 INC ECX 


80841511E |, E2 17 LOOPD SHORT 80515137 
00515128|, EB 07 JHMP SHORT 80515129 
88415122 Eñ EBOTEBEB 8DFF | JMP FAR FFOD:EBEBOTEB Far jump 
80515129 E8 81808608 CALL 80041512F 
08041512E Eñ 5ñ83Eñ0B FFE2|JMP FAR E2FF:0BEñR835ñ Far jump 
80515135 |, EB 04 JMP SHORT 0851513B 
88515137 9A EB8488EB FBFF |CALL FAR FFFB:EB800hEB Far call 
8841513E E8 020000860 CALL 885415155 

884515153 AG 885081ER MOU ñL,BYTE PTR DS:[ER815688] 
88415158] 45 INC EBP 

88515159 51 PUSH ECX 

B841514A | 8188 ADD DWORD PTR DS:[EAX], EAX 
08415140 83Eñ FE SUB EDX,-2 


图 53-3 ”扰乱 代码 对 齐 


从 图 53-3 的 代码 可 以 看 出 ，41510F 地 址 处 的 JMP 指 令 用 来 跳 转 到 415117 地 址 处 ， 但 是 415117 
地 址 处 的 反 汇编 代码 却 未 能 正常 显示 。 这 是 由 于 扰乱 代码 对 齐 ( Breaking Code Alignment ) 使 
OllyDbg 调 试 需 生成 了 错误 的 反 汇 编 代 码 。 

415115 地 址 处 的 指令 中 ， 操 作 码 为 “A3”， 对 应 于 MOV 指 令 ， 用 来 处 理 4 个 字 节 大 小 的 立即 
数值 。 所 以 该 地 址 处 的 指令 长 度 最 终 被 解析 为 5 个 字 节 ， 这 正 是 扰乱 代码 对 齐 的 花招 。415115 地 
址 处 的 “A368” 指 令 是 故意 添加 的 代码 ， 用 来 扰乱 反 汇 编 代 码 ， 程 序 中 未 使 用 它 ， 实 际 的 代码 
仅 为 415117 地 址 处 的 “7201”。 











关于 IA-32 指令 解析 的 内 容 请 参考 第 93x. 





背 助 StepInto(F7) 命 令 进 入 415117 地 址 ， 显 示 正 常 代 码 ， 如 图 53-4 所 示 。 





(Isat. 72 8 SHORT 88515118 





80515119. FF5D 33 CALL FAR FWDRD PTR SS:[EBP*33] Far call 
88041511E] C9 LERUE 

80515110 | m INC ECX i 
60841511E i, E2 17 |LO80PD SHORT 80515137 | 


图 53-4 415117 地 址 的 实际 指令 


415117 地 址 处 的 JB 指 令 也 应 用 了 相同 技法 , 打 乱 了 代码 对 齐 。 这 种 “向 代码 插入 ( 经 过 精巧 
设计 的 ) 不 必要 的 代码 来 降低 反 汇编 代码 可 读 性 ”的 技术 称 为 扰乱 代码 对 齐 。 

尚未 完全 掌握 代码 就 贸然 使 用 StepOver(F8) 等 命令 追踪 调试 ， 很 有 可 能 遭遇 其 他 反 调 试 技术 
拦截 。 总 之 ， 扰 乱 代 码 对 齐 技术 是 最 令 代码 逆向 分 析 人 员 兰 恼 的 技术 之 一 。 


大 部 分 调试 器 都 拥有 IA-32 指令 智能 解析 功能 ， 用 来 生成 反 汇 编 代 码 。OllyDbg 调 
试 器 也 有 类 似 的 分 析 (Analysis ) 功能 ， 用 来 提高 反 汇 编 代 码 的 可 读 性 。 在 图 53-3 中 
按 Ctrl+A 快捷 键 ， 弹 出 图 53-5 所 示 的 警告 窗口 (初次 调试 程序 时 ， 若 有 异常 ， 也 会 弹 
出 该 警告 窗口 )。 
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(s METUENS asuamanta mamaman ahua: n SETY 
Compressed code? | ^ mu Qu c pu 





WR. Quick statistical test of module 'test' reports that its code section 
" is either compressed, encrypted, or contains large amount of 
embedded data. Results of code analysis can be very unreliable 
or simply wrong. Do you want to continue analysis? 











s 
| 





图 53-5”OllyDbg 警 告 窗口 
单 击 “是 (Y)， 显 示 图 53-6 所 示 的 代码 。 











886415169F © 
84195114 | . 
88515112] > 
88515115 









88515116 68 DB 68 CHAR 'h' 
88415117 -72 DB 72 CHAR 'r' 
88515118 81 DB 01 | 

80515119 FF DB FF | 

88515118 5D DB 5D , CHAR ']' 
88515118 33 DB 33 | CHAR '3* 
88041511C c9 DB C9 

68041511D 41 DB #1 CHAR 'A' 


86041511F 17 DB 17 
88515128 EB DB EB 
80515121 87 DB 87 
88515122 ER DB ER | 
88515123 EB DB EB 
88515125 81 DB 81 i 
88815125 | .~ EB EB JMP SHORT 884515112 i 


图 53-6 解析 失败 的 反 汇编 代码 


8041511E E2 DB E2 | 
I 
| 











如 图 53-6 所 示 ，OllyDbg 调试 器 无 法 正常 解析 指令 ， 反 汇编 代码 解析 ( Analysis ) 
从 415115 地 址 开始 就 失败 了 。 这 是 因为 解析 结果 中 415115~415116 地 址 间 的 指令 
( “A368” ) 被 认为 语义 不 正确 。 

从 代码 流 看 ， 程 序 执行 要 跳 转 到 415117 地 址 处 ， 但 是 415112 地 址 与 415117 地 址 
间 的 A368 指令 未 能 解析 为 正常 的 IA-32 指令 (2 字 节 大 小 ) ( A3 是 总 长 度 为 5 字 节 的 
指令 ， 但 根据 前 后 代码 看 ， 它 仅 有 2 个 字 节 )。 此 时 关闭 OllyDbg 调试 器 的 解析 功能 反 
而 会 更 好 。 单 击 和 鼠标 右键 ， 在 弹出 菜单 中 依次 选择 Analysis-Remove analysis from 
module, cE] 53-7 所 示 。 





-HZ (N0,B,HE,BE,NS,PE,GE,G) 


Search for » 
-UNORM D1B8 818568184 0808888800 

Find references to d 8.0 

View : 9.8 


Copy to executable Gn Eua RN CREE hd 
: i Analyse code Ctrl eA, 



















] Remove analysis frorn module 

| = CB ir RR TREE | Scan object files Ctrl+O 
Process Patcher | Remove object scan from module 

d dA eds 本 CaL n Kiki ER IR hassan 


[453-7 Remove analysis from module3 B 


ix, OllyDbg 调试 器 就 不 会 对 代码 进行 智能 解析 , 而 是 直接 显示 原先 的 反 汇 编 代 
码 ， 如 图 53-3 所 示 。 
接 下 来 ， 使 用 带 有 强大 反 汇 编 功 能 的 IDA Pro 来 分 析 相 同 代码 ， 如 图 53-8 所 示 。 
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.taz:8841518E 和 
* -taz:0081510E F9 stc 
* .taz:88515111 C9 db 8C9h ; ( 
* .taz-88515112 C2 db Bc2h ; ( 
* .taz:BB415113 88 db 8 
* ,taz:88415114 00 db 8 
* ,taz:88415115 A3 db 883h ; ( 
.taz:86515116 68 db 68h ; h 
* .taz:808515117 72 db 72h ; r 
* ,taz: 885415118 601 db 4 
* .taz:88515119 FF db 8FFh 
* ,taz:88515110 5D db 5ph ; ] 
* .taz:8851511B 33 db 33h ; 3 
.taz:8851511€6 C9 db 8C69h ; (| 
* .taz:88541511D 51 db 41h ; A 
* .taz:0851511E E2 db 8E2h ; ( 
* .taz:0841511F 17 db 17h 
* ,taz:885415128 EB db 8EBh ; ( 
* .taz:80515121 07 db 7 


图 $3-8 ”使 用 IDA Pro 查 看 代码 


可 以 看 到 出 现 了 相同 的 现象 。 去 往 实际 地 址 前 ,程序 代码 在 OllyDbg 与 IDA Pro 
中 都 处 在 代码 非 对 齐 状态 。 





提示 一 
我 们 通常 把 纠缠 混合 在 一 起 的 代码 称 为 “混乱 代码 ”( Obfuscated Code )， 它 们 会 
增加 阅读 分 析 代 码 的 难度 。 灵 活 运用 垃圾 代码 与 扰乱 代码 对 齐 技术 能 够 产生 非常 棒 的 
“混乱 代码 ”。 








53.4 加 密 /解密 


加 密 /解密 ( Encryption/Decryption ) 是 压缩 需 与 保护 需 中 经 常 使 用 的 技术 ， 用 来 隐藏 程序 代 
码 与 数据 ， 从 而 有 效 防 止 调试 分 析 程 序 。 

提示 一 
计算 机 领域 中 将 “为 正常 代码 加 密 ” 的 行为 称 为 “编码 ”( Encoding )， 而 把 “ 解 
密 代 码 ” 的 行为 称 为 “解码 ”(Decoding )。 


53.4.1 简单 的 解码 示例 


下 面 看 个 简单 的 解码 示例 。 


代码 53-1 解码 循环 

0040B000 MOV ECX,100 

0040B005 MOV ESI,0040B010 
0040B00A XOR BYTE PTR DS:[ESI],7F 
0040B00D INC ESI 

0040B00E ^ LOOPD SHORT 0040B00A 
00408010 POP DS 

0040B011 XCHG EAX,EDI 

0040B012 JG SHORT 0040B093 
00408014 JG SHORT 0040B095 
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40B000~40B00E 地 址 间 的 代码 是 解码 循环 , 用 来 对 40B010~40B110 地 址 区 域 进行 解码 (XOR 
7F )。40B010 地 址 以 后 的 代码 只 有 经 过 解码 才能 正常 显示 。 
提示 
反 转 储 技术 中 ， 加 密 代 码 被 解码 为 正常 代码 后 ， 有 时 会 被 再 次 加 密 。 转 储 i 
的 进程 内 存 代 码 时 ， 得 到 的 代码 仍然 处 于 加 密 状 态 。 


` 
` 


中 





53.4.2 ”复杂 的 解码 示例 
下 面 看 个 更 复杂 的 解码 循环 ， 其 内 部 包含 大 量 垃圾 代码 ， 如 代码 53-2 所 示 。 

















005910D1 CALL 005910E2 ; (*) 
005910D6 HLT 

005910D7 SBB EAX,19606392 

005910DC FIDIVR WORD PTR DS:[EDI+DBEAD58C] 
005910E2 JNB 005910ED 

005910E8 ADC DX,0A953 

005910ED POP EBX ; EBX 


- 5910D6 
005910F3 JNB 0059110B 
005910F9  JMP 0059110B 
0059110B POP ESI 
0059110C ADD EBX,0A42 ; EBX - 591B18 


00591112 PUSH 7FFFAA31 

00591117 MOV EDI,7944ECA2 

0059111C POP ESI 

0059111D MOV EAX,252 ; EAX 
00591122 JMP 00591138 


252 (loop count) 


00591138 MOV ECX,DWORD PTR DS: [EBX] 
0059113A MOV EDI,22AC5676 

0059113F SUB ECX,425C7573 

00591145 MOV ESI,EDI ` 

00591147 ADD ECX,77193C30 

0059114D PUSH EDI 

0059114E CALL 00591164 


00591164 MOV ESI,4B1DFA57 

00591169 POP EDI 

0059116A POP EDI 

0059116B SUB ECX,233570A9 

00591171 PUSH. ESI 

00591172 JG 0059117D 

00591178 MOV EDI,0A7E8B74 

0059117D POP EDI 

0059117E MOV DWORD PTR DS:[EBX], ECX 
00591180 PUSH EBX 

00591181 MOV DX,CX 

00591184 POP EDX 

00591185 SUB EBX,4E777037 

0059118B JMP 00591197 

00591190 RCL DWORD PTR DS:[EAX],CL 
00591192 OR DWORD PTR DS: [ESI] ,ECX 
00591194 DAS 

00591195 CMP AL,0C5 

00591197 ADD EBX,4E777033 

0059119D MOV DH,8B 
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0059119F SUB EAX,1 

005911A2 JNZ 005911C3 

005911A8 SUB DX,421F 

005911AD JMP 005911D4 ; 解码 结束 后 跳 到 解密 后 的 代码 
005911B2 XOR EAX,B1583BCA 

005911B7 XCHG EAX,ESI 

005911B8 POP SS 

005911B9 ADD AL,OED 

005911BB AND DH,BYTE PTR DS: [EBX«F6EE970] 

005911C1  PUSHFD 

005911C2 MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ESI] 
005911C3 JMP 00591138 ; 继续 解码 


以 上 代码 中 ， 有 效 指令 与 垃圾 指令 混在 一 起 , 看 上 去 比较 复杂 。 但 跟踪 调试 可 以 发 现 ， 上 述 
代码 就 是 解码 循环 ， 并 且 我 们 能 够 从 中 找 出 有 效 指令 ( 以 上 代码 用 黑 粗 体 表示 有 效 指令 )。 其 中 
最 核心 的 指令 如 下 所 示 : 

00591138 MOV ECX,DWORD PTR DS:[EBX] 

0059113F SUB ECX,425C7573 | 

00591147 ADD ECX,77193C30 “ADD ECX,11875614” 
0059116B SUB ECX,233570A9 

0059117E MOV DWORD PTR DS:[EBX],ECX 

上 述 代 码 中 ， 先 从 EBX 寄 存 器 所 指 地 址 中 读 取 DWORD (4 个 字 节 ) 值 ， 然 后 与 0x11875614 
相 加 ， 再 写 入 原 地 址 。 也 就 是 说 ， 在 原 值 基础 上 加 了 0x11875614。 

EAX 寄存 器 用 来 为 解码 循环 计数 , 它 先 被 599111D 地 址 处 的 MOV 指 令 初 始 化 为 0x252,， 然 后 被 
59119F 地 址 处 的 SUB 指 令 减 去 1。 要 解密 区 域 的 地 址 存储 在 EBX 寄 存 器 中 ， 在 005910D1 , 
005910ED、0059110C 地 址 处 指令 的 作用 下 ,EBX 寄 存 器 的 初始 值 被 设置 为 591B18, 然后 在 以 下 2 
条 指令 的 作用 下 减 去 4( EBX 的 范围 为 5911D4~591B18 )。 


00591185 SUB EBX,4E777037 
00591197 ADD EBX,4E777033 


最 后 ， 所 有 人 解码 完成 后 ， 执 行 53911AD 地 址 处 的 JMP 指 令 ， 跳 转 到 5911D4 地 址 处 (解密 代码 
的 起 始 位 置 )。 
005911AD JMP 005911D4 


从 代码 53-2 中 删除 垃圾 指令 后 ， 对 代码 简单 整理 如 下 : 
005910D1 MOV EAX,252 

005910D6 MOV EBX,00591B18 

005910DB MOV ECX,DWORD PTR DS: [EBX] 

005910DD ADD ECX,11875614 

005910E3 MOV DWORD PTR DS:[EBX], ECX 

005910E5 SUB EBX,4 

005910E8 DEC EAX 

005910E9 JNZ SHORT 005910DB 

005910EB JMP 005911D4 
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53.4.8 ”特殊 情况 :代码 重组 


有 些 程序 保护 器 为 了 降低 代码 可 读 性 , 增加 代码 跟踪 难度 , 采用 了 实时 组 合 执行 代码 的 技术 
图 53-9 中 ,4150E3 地 址 处 的 SUB 指 令 与 4150E9 地 址 处 的 DEC 指 令 用 来 修改 其 下 的 代码 (分 别 
为 4150EF、4150EC )。 执 行 这 2 条 指令 后 ， 其 下 的 代码 变形 如 图 53-10 所 示 。 


G84158D7| > 60 PUSHAD 
89^159D8| . E8 0880808808 CALL 90041500D 
88515800| $ 8B1C24 MOU EBX,DWORD PTR SS [ESP] 


B84158E8| . 
x 





BG4156E9| . 
884158EC| . ú 





SUB BYTE PTR SS:TÉSF | emet 
1/0 command 














885158F8| . OUT 56,RL 

9805150F2| . ADD BYTE PTR DS:[EBN],CL 

B84158F5| . IN AL,74 I/0 command 
B88h150F6| . SAHF 

8985158F7| .. JNZ SHORT 004150FA 

B8415 8F9 DB £7 

BOu158FA . 8173 0h D77AF72F | XOR DWORD PTR DS:[EBX+4],2FF77AD7 

685151801| . 8173 19 7780h3B7 | XOR DWORD PTR DS:[EBX+19] ,87438877 


图 53-9 ”代码 重组 #1 


S8415887| > 60 PUSHAD 
805150D8| E8 88808888 CALL 805150DD 

98415000| $ 88124 MOU EBX,DWORD PTR SS:[ESP] 

804158EG| . 83C3 12 ADD EBX,12 => EBX : 801150EF 
0U41580E3| . 812B ESB10688 SUB DWORD PTR DS:[EBX],6B1ES [EBX] = 8846E617 
805150E9| . FE4B FD C BVTE PTR DS:[EBX-3 [EBX-3] - 










] 
is WORD PTR SS:[ESP],00403h2F| | Te 
885150F3] ? P ,ESP 
B04158FS| 7^ 74 9E JE SHORT 88515895 











885158F7| ., 75 01 JNZ SHORT 88h158FR 
985158F9! c7 DB C7 

804158F0| . 8173 04 D77AF72F | XOR DWORD PTR DS:[EBX+4],2FF77AD7 
00515191| . 8173 19 770043B7 | XOR DWORD PTR DS:[EBX*19],B7538077 
80415108! . F6C3 6B TEST BL,óB 

093151988) . B7 88 MOU BH,G 


图 $3-10 ”代码 重组 #2 


可 以 看 到 ， 重 新 生成 了 4150EC 地 址 处 的 指令 ，CPU 会 执行 新 的 指令 代码 。 
该 技术 的 另 一 个 优点 是 ， 用 户 在 解码 的 代码 处 设置 软件 断 点 〈0xCC ) 后 ， 程 序 运行 就 会 引 
发 运行 时 错误 。 这 是 因为 , 设 有 断 点 的 区 域 被 0xCC 取 代 , 从 而 出 现 完全 不 同 的 计算 结果 ( OllyDbg 
调试 器 中 ， 为 了 保护 设 有 软件 断 点 的 地 址 中 的 数据 ， 干 脆 禁 止 写 入 新 值 )。 
提示 
以 上 代码 为 PESpin 保护 器 ( PESpin(1.32).exe ) 的 EP 代码 。 





53.5 Stolen Bytes (Remove OEP) 


Stolen Bytes ( 或 者 Remove OEP ) 技术 将 部 分 源 代码 ( 主要 是 OEP 代 码 ) 转移 到 压缩 器 /保护 
器 创建 的 内 存 区 域 运行 。 

该 技术 的 优点 是 ， 转 储 进 程 内 存 时 ,一 部 分 OEP 代 码 会 被 删除 ， 转 储 的 文件 无 法 正常 运行 反 
转 储 技术 。 男 一 优点 是 ， 应 用 Stolen Bytes 技 术 的 文件 再 次 经 过 压缩 器 /保护 器 压缩 后 ， 会 给 逆向 
分 析 人 员 造 成 很 大 混乱 。 文 件 脱 壳 后 ， 得 到 的 不 是 熟悉 的 OEP 代 码 ， 而 是 其 他 形态 的 代码 ， 这 很 
难 判 断 是 脱 壳 成 功 还 是 需要 继续 操作 ， 容 易 引 起 代码 逆向 分 析 人 员 的 混乱 (我 们 常用 “迷路 、 徘 
徊 ”等 词汇 描述 这 种 状态 )。 为 帮助 各 位 理解 该 技术 ， 下 面 分 析 练 习 示例 ( stolen_bytes.exe )。 首 


53.5 Stolen Bytes ( Remove OEP ) 
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先 在 OllyDbg 调 斌 器 中 打开 示例 程序 ， 进 入 程序 的 EP 代码 ， 如 图 53-11 所 示 。 





90040180411 
80401942 
ma4elogq4 
98401046 
pa4a104B 
60401056 
00401056 
üg4aiB5? 
00840105E 
9084061061 
BB481862 
8040616653 
604801864 
0084061067 
08431860 
Ba4aiosF 
604912871 
0804010677 
80401479 
udaalgsF 
0045108035 
Ba401082 
00431082A 
Baseicso 
80491093 
Ba4ealaos 
80640189A 
a401 ASF 
9481588 
B24818R2 








68 BB6D4BBB 
68 88264000 
64:A1 eBnaaonan 


64:8925 906899866 


8965 ES 
FF15 04604000 


8915 19994000 


81E1 FF000800 
890D 14994000 
C1E1 68 


8900 10994000 
C1EƏ8 10 

A3 0C994000 
6R aea 

ES 92140000 





MOU EBP,ESP 

PUSH ~1 

PUSH Ba4a6aBa 

PUSH Ba4802688 

MOU EAX, DWORD PTR FS: C58] 

PUSH EAX 

MOV DWORD PTR FS: [8],ESP 

SUB ESP, iñ 

PUSH EBX 

PUSH ESI 

PUSH EDI 

MOU DWORD PTR SS:LlEBP-181,ESP 
CALL DWORD PTR DS:[<&KERNELS2. GetUersion?1 
XOR EDX, EDX 

MOV DL, RH 

MOY DWORD PTR DS:[4099181,EDX 
MOU ECX, EAX 

AND ECK,GUFF 

MOU DWORD PTR DS:r4899141,EC* 
SHL ECX, 

RDD ECX, EDX 

MOY DWORD PTR DS: [409910], ECX 
SHR EAX, 19 

MOV DWORD PTR DS:[40990C], EAX 
PUSH 0 

CALL 00402531 

FOP ECX 

TEST EAX, EAX 

JHE SHORT 004010AC 





Getuersion() 


图 53-11 原来 的 EP 代码 


示例 程序 (stolen bytes.exe ) 是 用 Microsoft Visual C++ 6.0 工 具 编 译 的 可 执行 文件 ， 图 53-11 
为 其 EP 代码 (使 用 Visual C++ 2008/2010 编 译 的 可 执行 文件 的 EP 代码 形态 与 此 不 同 )。 

在 PESpin 保 护 器 中 开启 "Remove OEP” 选 项 ， 打 开 示 例 程 序 文件 ， 执 行 “Protect”( 保护 文 
件 ) 操作 ( stolen_bytes_pespin.exe )。 在 OllyDbg 调 试 器 中 打开 stolen_bytes_pespin.exe 程 序 文件 ， 
转 到 OEP 附 近 的 地 址 处 ( 参考 图 53-12 )。 

从 图 53-12 可 以 看 到 ，401088 地 址 之 前 的 代码 都 被 蔡 换 为 NULL 值 (请 与 前 图 中 的 EP 代码 比 
£). 虽然 图 53-12 并 未 显示 全 部 代码 ,但 可 以 看 到 OEP (401041 ) ~401087 区 域 中 的 代码 已 被 删 
除 。 删 除 的 代码 被 保存 到 PESpin 添 加 的 节 区 ， 脱 壳 后 调用 执行 。 以 下 代码 就 是 保存 在 PESpin 节 区 
中 的 “消失 的 OEP 代 码 ”。 


aa461807f 
pü4pic?B ga DE pü 
Bü4B187C aa DB aa 
gaaalort aa DB eo 
B648167E aa DE gau 
B04D107F ea DE o 
00461020 aa DB ea 
0064010881 gn DB aen 
ga481a082 ae DE sc 
8040109952 aa DB aa 
0894010934 [5] DB &B 
00401635 














*- "Stolen Bytes" 













MOU DWORD PTR DS:[409910], ECX 






20401068A 890D 10994000 






















00401090 C1E8 18 SHR ERX,18 

00461093 A3 0C394000 MOV DWORD PTR DS: [48998C1, EAX 
00401093 ER ea PUSH 6 

06040109A ES 92140000 CALL stolen_b. 00402531 

名 后 4 总 TS3F 59 POP ECX 

aa4eiono Ssca TEST EAX, EAX 

Ba4BIGAZ| ..| 75 eS MZ SHORT stolen_b.884818AC 





K53-12 ”被 删除 的 OEP 代 码 
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0040CCE8 PUSH EBP 
0040CCE9 JMP SHORT 0040CCEC 


0040CCEC MOV EBP,ESP 
0040CCEE JMP SHORT 0040CCF1 


0040CCF1 PUSH -1 
0040CCF3 JMP SHORT 0040CCF6 


0040CCF6 PUSH D021EE22 4 ^ 
0040CCFB ADD DWORD PTR SS:[ESP],301E728E | push: 8F2669B9 
0040CD02 PUSH 4F6228 

0040CD07 SUB DWORD PTR SS:[ESP],0F3BAO | "PUSH 00402688" 
0040CD0E MOV EAX,DWORD PTR FS:[0] 

0040CD14 JMP SHORT 0040CD17 


0040CD17 PUSH EAX 
0040CD18 JMP SHORT 0040CD1B 


0040CD1B MOV DWORD PTR FS:[0],ESP 
0040CD22 JMP SHORT 0040CD25 


0040CD25 SUB ESP,10 
0040CD28 JMP SHORT 0040CD2B 


0040CD2B PUSH EBX 
0040CD2C JMP SHORT 0040CD2F 


9040CD2F PUSH ESI 
0040CD30 JMP SHORT 0040CD33 


0040CD33 PUSH EDI 
0040CD34 JMP SHORT 0040CD37 


0040CD37 MOV DWORD PTR SS:[EBP-18],ESP 
0040CD3A JMP SHORT 0040CD3D 


0040CD3D CALL DWORD PTR DS:[40FE24] ; kernel32.GetVersion 
0040CD43 JMP SHORT 0040CD46 


0040CD46 XOR EDX, EDX 
0040CD48 JMP SHORT 0040CD4B 


0040CD4B MOV DL,AH 
0040CD4D JMP SHORT 0040CD50 


0040CD50 MOV DWORD PTR DS:[409918],EDX 
0040CD56 JMP SHORT 0040CD59 


0040CD59 MOV ECX,EAX 
0040CD5B JMP SHORT 0040CD5E 


0040CD5E AND ECX,O0FF 
0040CD64 JMP SHORT 0040CD67 


0040CD67 MOV DWORD PTR DS:[409914],ECX 
0040CD6D JMP SHORT 0040CD70 


0040CD70 SHL ECX,8 
0040CD73 JMP SHORT 0040CD76 


0040CD76 JMP 00401088 
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从 以 上 代码 可 以 看 出 ，OEP 代 码 采 用 了 扰乱 代码 对 齐 技术 拆 分 保存 。 最 终 执行 40CD76 地 址 
处 的 JMP 指 令 ， 将 程序 执行 跳 转 到 源 代码 节 区 ( 401088 )。 

不 同类 型 保护 器 的 处 理 方式 不 同 , 有 些 保护 器 会 先 保存 Stolen Bytes 再 运行 , 而 有 些 保护 器 运行 
完 Stolen Bytes 后 会 将 它们 直接 从 内 存 中 删除 ( 分 配 内 存 -解密 Stolen Bytes 代 码 -运行 -释放 内 存 )。 


53.6 API 重 定向 


在 主要 的 Win 32 API ( 文件 、 注 册 表 、 进 程 、 网 络 等 ) 处 设置 断 点 ， 就 能 在 调试 程序 时 快速 
掌握 代码 流 。 

图 $53-13 是 OllyDbg 调 试 器 的 断 点 窗口 ， 列 出 了 主要 API 起 始 代码 中 设置 的 断 点 。 在 该 状态 下 
运行 (RUN(F9) ) 被 调试 进程 ， 每 当 调用 以 上 断 点 列表 中 的 API 时 ， 程 序 暂 停 执行 ， 返 回 地 址 被 
存储 到 栈 ( 参考 图 53-14 )。 


E] Breakpoints 


Z19E2FF7 WS2_32.recvfrom Wsa 32 Always |MOU EDI,EDI 

7T19E4R8? US2 32.connect us2_32 Always | HOU EDI,EDI 
Ws2 3e2.send Wse a2 Always |MOU EDI,EDI 
ls2 32.recv sa s2 Always | MOU EDI,EDI 
USER32.F indllindouR | USERS2 Always | MOU EDI,EDI 
USER32.SetllindowsHookE«R USERS2 Always |MOU EDI,EDI 
RDURPIS2Z.ReaGuerylUalueE«R ADVAPISZ | Always |HOU EDI,EDI 
RDURPIS2.RegSetUalueE«R ADVAPISZ | Always | PUSH 2C 
RBDURPI32.CreateServiceR RDURPIS2|Rlways |PUSH 30 
kernel32.ReadFile kernel32|Always | PUSH 26 
kernel32.CreateFileR kernel32|Rlways |MOU EDI,EDI 
kernel32.LoadL ibraryR kernel32| Always |MOU EDI,EDI 
kernel32.ReadProcesshMemory kernel32|Always | MOU EDI,EDI 
kernel32.UriteProcesshemory kernel32| Always |HOU EDI,EDI 
kernel32.CreateProcessH kernel32| Always | MOU EDI,EDI 
kernel32.UirtualRl locEx kernel32|Rlways |PUSH 18 
kernel32.GetProcRHddress kernel32|Always | MOU EDI,EDI 
kernel32.napUiewOfF ileEs kernelS2|Rlways |HOU EDI,EDI 
kernel32.UirtualGueryEs kernel32|Rlways |HOU EDI,EDI 
kernel32.FindResourceR kernel32|Rlways | PUSH 28 
kernel32.CreatellutesR kernel32 {Always |MOU EDI,EDI 
kernel32.CreateThread kernel32|Rlways |MOU EDI,EDI 
kernelS32.WriteFile kernel32|Always | PUSH 18 
kernel32.IsDebuaserPresent kernel32|Rlways EAX, DWORD PT 
kernel32.FindFirstFileR kernel32|Rlways EDI,EDI 
kernel32.GetSyustemDirectoryR kernel32|Rlways EDI,EDI 
kernel32.0penProcess kernel32 |Rlways EDI,EDI 
kernel32.GetThreadContest kernel32 |Always EDI, EDI 
kernel32.SetThreadContest kernel32|Rlways EDI,EDI 
kernel32.Process32Nest kernel32| Always EDI, EDI 

7C865B1F kernel32.CreateToolhelp32Snapshot | kernel32 {Always EDI, EDI 














图 $3-13 Hr 








vCOORES2 i; PUSH EBP 
MOU EBP, ESP 
PUSH ECX 
PUSH ECX 






7CseRE36 
7CS88RE37 






ea Ei 3| 9812FES hhodule = 7C800000 (kernels32) 
Z aai2FEG4 88433208| V. ProcHameO0rürdinal = "UirtualRllocEs"" 










0043 
ee43R888 


00| BB so 
Ha F3 42 860 CS 





图 53-14” 断 点 
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接 下 来 , 只 要 从 返回 地 址 继续 调试 就 可 以 了 。 要 调试 的 代码 非常 多 时 , 采用 该 方法 非常 高 效 ， 
且 能 轻松 进入 核心 代码 调试 。 

API 重 定向 就 是 破解 上 面 这 种 调试 手法 的 技术 。 程 序 保 护 器 通常 会 先 将 全 部 ( 或 部 分 ) 主要 
的 API 代 码 复制 到 其 他 内 存 区 域 ， 然 后 分 析 要 保护 的 目标 进程 代码 ， 修 改 调用 API 的 代码 ， 从 而 
使 自身 复制 的 API 代 码 得 以 执行 。 这 样 ， 即 使 在 原 API 地 址 处 设置 断 点 也 没 用 ( 此 外 ， 该 技术 还 
支持 反 转 储 功 能 )。 

下 面 分 析 一 段 应 用 API 重 定向 技术 的 人 代码， 帮助 各 位 加 深 理解 。 


53.6.1 原 代码 
首先 在 OllyDbg 调 试 器 中 打开 示例 程序 ( api_redirection_org.exe )， 原 代码 如 图 53-15 所 示 。 













a|. ES 1A190606 
j|. A3 ESSS4666 
a. Es C39DBBBB 
. ES fAcapaaaa 
. ES 7RBRBBBB 
. H1 289348588 


CALL 96040200F 
MOV DWORD PTR DS: [4098E8], EAX 
CALL 00401E92 
CALL 60401009 
CALL 600401853 
MOJ EAX, DWORD PTR DS:[409323] 


00402600F 






00401E92 
00401009 
00401858 










4010B5 地 址 处 的 CALLDWORD PTR DS:[406000] 指 令 中 ， 地 址 406000 即 为 IAT 区 域 ， 其 中 含 
^Hkernel32!GetCommandLineA() API 地 址 ( 7C812FAD )。kernel32!GetCommandLineA() API 的 实际 ， 
代码 如 图 53-16 所 示 。 











RETN — 
NOP 
NOP 








图 53-16 kernel32!GetCommandLineA() API 代 码 


可 以 看 到 其 代码 非常 简单 ， 仅 返回 7C8855F4 地 址 ( kernel32.dll 的 .data 区 域 ) 中 存储 的 值 。 严 
格 地 说 ，DWORD PTR DS:[7C8855F4] 为 kernel32.dll 的 全 局 变量 。 


53.6.2 API 重 定向 示例 #1 


下 面 分 析 api_redirection1.exe 示 例 程序 ， 它 在 上 面 原 代 码 的 基础 上 应 用 了 API 重 定向 技术 。 

与 原 代码 ( 图 53-15 ) 相 比 ,IAT 地 址 由 原来 的 406000 变 为 40FE1F, 且 40FE1F 地 址 的 值 为 3F0000 
( 原 代 码 中 该 地 址 为 kernel32.dll 内 API 的 地 址 )。 

mn —— H——————Á — n |. 
api redirectionl.exe 文件 是 使 用 PESpin 保护 器 的 API 重 定向 选项 制作 的 。 使 用 调 
试 器 进行 运行 时 解压 缩 后 ， 运 行 到 OEP 处 就 会 出 现 上 图 中 的 (变形 后 的 ) 原 代 码 。 解 
压缩 后 也 应 用 API 重 定向 技术 。 
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地 址 3F0000 是 保护 器 分 配 的 内 存 区 域 的 起 始 地 址 ， 保 护 器 将 主要 的 API 代 码 复制 到 该 地 址 区 
bü. 在 图 53-17 中 跟踪 ( StepInto(F7) ) 位 于 4010B5 地 址 处 的 CALL 指 令 , 查看 3F0000 地 址 处 的 代码 。 


BBpdDlDB 
00401068 
n040 oca 

























MOV DWORD PTR DS: C 
CALL 00460200F 

MOY DWORD PTR DS:L4898E81,ERX 
CALL 00401E92 

CALL 00401009 

CALL 00401653 

MOU EAX, DWORD PTR DS:[4099281J 


A3 24AE4000 
ES 1A186888 
RS E9984000 
ES CasüDaanac 
ES acapaaan 
ES 7RBRBBBB 
Ai 28994000 








804020DF 


00401E92 
00401009 
00401653 








ea45FE1F| 0 SF 00 00 21 5G 3F 85 DD 4 PE EP 
Ga4GFEZF|GG SF G8 H079 O SF GB|GB 97 Bü SF 89 00 RF 00|.7..9.7..77..^ 
Ba4eFESF|sF GG DQ CF BB 3F QO GB FO GG SF OD 80 11 Gi 3F|?..?9?..?7.. 







[53-17 ”API 重 定向 示例 #1 


从 图 53-18 可 以 看 到 ， 代 码 中 应 用 了 扰乱 代码 对 齐 技术 ， 跟 踪 JMP 指 令 可 以 看 到 实际 的 API 


代码 。 











EE 
DOSFDGGS 
B03F 866099 










FLDENU (28-BVTE) PTR DS:[ECX+?C88SSF41 
RETN 
NOP 


图 53-18 ” 重 定 向 后 的 API 人 代码 







D9R1 F455887C 
ca 
9a 





图 53-19 中 的 代码 与 实际 的 kernel32!GetCommandLineA( API 代 码 ( 参考 图 53-16 ) 完全 相同 。 
保护 器 将 原 API 代 码 复 制 到 该 处 。 








803F0606S 
aacsradaas 
Basrandn 






图 $3-19 复制 后 的 kernel32!GetCommandLineAO 代 码 


保护 器 会 像 这 样 重新 组 织 原 程序 的 IAT， 并 全 部 修改 调用 相关 API 的 代码 。 最 终 调 用 的 不 是 
Kernel32 模 块 中 的 原 API， 而 是 3F0000 地 址 区 域 中 的 API。 


53.6.3 API 重 定向 示例 #2 


下 面 看 个 更 复杂 的 API 重 定向 示例 ， 该 示例 程序 (api redirection2.exe ) 是 使 用 ASProtect 的 
Advanced Import Protection 与 Emulate standard system function 功 能 制作 的 ， 如 图 $3-20 所 示 。 















004010BS 
Baa48168Bh 
004G19EF 
B04B816C1 






BBES 
1A16 


ADD AL, CH 
SBB DL, BYTE PTR DS:[EAX] 






00401009 A1 289948808 MOU EAX, DWORD PTR DS: [409928] 


0840103 86868 ADD BYTE PTR DS:LERX1,RL 
DB8451BCS A3 E8934000D MOU DWORD PTR DS:[4098E8], EAX 
BG4018CA ES C3000000 CALL 00401E92 

G04818CF | ES 6BS6D86868 CALL 00481DD9 

B04810D4 | ES 7RBR6668 CALL 004018653 





[453-20 API Redirectionzr {#2 
在 原 程 序 与 本 示例 中 比较 4010B5 地 址 处 的 CALL 指 邻 (参考 图 53-15 )。 


590 第 53 章 ”高 级 反 调试 技术 


( 原 程序 ) 


004010B5 CALL DWORD PTR DS:[406000] ; 7C812FAD 


FF15 00604000 
(API Redirection £2) 
004010B5 E8 46EF7600 CALL B70000 

虽然 2 条 CALL 指 令 相 同 , 但 操作 码 却 不 同 。 操作 码 “FF15” 表 示 间 接 调用 7C812FAD 地 址 (该 
地 址 存储 在 406000 地 址 中 ) 处 的 函数 。 操 作 码 “E8” 表 示 直 接 调用 ( 指定 地 址 值 ( 76EF46 ) 加 
上 Next EIP (4010BA ) 得 到 的 ) 新 地 址 (76EF46+4010BA=B70000 ) 中 的 代码 。 

提示 一 一 
原来 的 6 字 节 CALL 指令 (FF15 00604000 ) 被 改 为 5 字 节 CALL 指令 (E8 
46EF7600 ), 4010BA 地 址 处 仅 剩 下 B8, 这 意味 着 代码 中 会 出 现代 码 对 齐 混乱 效果 ( 运 
4f B70000 函数 代码 ， 返 回 地 址 被 修改 为 与 原 代 码 相 同 的 地 址 4010BB )。 





B70000 地 址 区 域 是 ASProtect 在 脱 过 过程 中 分 配 的 众多 内 存 区 域 之 一 (人 参考 图 $3-21 )。 






M Memory map 


[aaaress |Ë 







































































0040090090 0909001000 _ api. redi PE header Imag 01001002 |R 
ea461665| 9696s656| api_redi code Imag 818801882 |R 
00406000| 00001000] api_redi code, data Imag 01001002 |R 
00407000| 00004000] api, redi code Imag 01801802 |R 
ea4aopaoa| aaacBaoa! api redi |. data code, imports Imag 61001002 |R 
00466000| 00001060 api redi |. adata |code Imag 01001002 |R 
00470000| aaaadcana Map 00041020 |R E 
BBSs38B6D| aaaac2ena Map 00041020 |R E 
00540000| 001030006 Map 888418802 |R 
Map 00041020 IR E 
Priv 88821884 RU 
Priv 888021004 |RU 
00004000 Priv 00021004 |RW 
aaasaana Map 88680418002 |R 
0800010080 Priv 00021040 |RWE 
| aaoaiaoana Priv 0800210840 |RuE 
00B20000| 00001000 | Priv 8808210480 |RUE 
| 98E38868 Priv 00021040 |RWE 
Priv 00021040 |RWE 
Priv 00021040 |RWE 
Priv 00021040 
Priv 00021040 
Priv 00021040 |RWE 
Priv 00021040 | RWE 
PE header Imag 01001002 R 
code, imports, esports | Imag 01001002 |R 
SR4B19800 code, data Imag 81001002 R 














ASProtect 创 建 的 内 存 区 域 


图 53-21 


跟踪 进入 ( StepInto(F7) ) B70000 函 数 ， 代 码 如 图 53-22 所 示 。 

从 图 中 可 以 看 到 ， 代码 中 含有 垃圾 代码 ， 也 应 用 了 扰乱 代码 对 齐 技术 。 实 际 的 
GetCommandLineA() API 代 码 要 一 段 时 间 后 才 显 示 。 

提示 一 
每 次 使 用 调试 器 转 到 B70000 地 址 时 ， 代 码 形 态 均 不 同 。 因 为 ASProtect 的 混淆 代 
码 生 成 器 每 次 都 会 生成 新 的 垃圾 代码 。 我 们 把 这 种 能 产生 相同 结果 而 又 具有 不 同形 态 
的 代码 称 为 多 态 代码 (Polymorphic Code ). 前 面 还 介绍 过 一 种 “混乱 代码 ”( Obfuscated 
Code), 今后 会 经 常用 到 它们 , 希望 各 位 借 此 机 会 记 住 。 图 53-22 中 的 代码 同时 具有 “多 
态 代码 ”和 “混乱 代码 ”的 特征 (代码 形态 随时 变化 ， 我 们 很 难 把 握 )。 
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JMP SHORT bpB76655 


















EB B2 

CD20 57F3EB02 UsDJump 2EBF357 

CD20 3CF3EBB2 UsDJump 2EEF39C 

CD25 SEEBG2CD UsDJump CD02EB3E 

208D ?C283F64 AND BYTE PTR SS:LEBP*643F2987C1, CL 
09678091B|ų~ EB 02 JMP SHORT 08B70801F 
Be68B7551D0| CD20 SD?C2FCi U«DCall C12F?C80 

| eBFD SUB EDI,EBP 

83EC 20 SUB ESP,260 

81C7 ?2DSES6F ADD EDI,&FESDZ72 

26:EB 82 JMP SHORT 00B70033 

CD20 81C7985D UnDJump SD93C781 

7F 61 Jü SHORT GaBpr?aaon 

8D7C24 61 LER EDI, OWORO PTR SS:0ESP*611 
a 83EF 61 SUB EDI,61 
00676040] 8947 00 MOU DWORD PTR DS:[EDI], EAX 
52876043| 8308 CB SBB EAX, -35 
02870046 |~ EB 01 JMP SHORT 00870049 
09876943| F80:334424 28 LOCK XOR EAX, DWORD PTR SS: [ESP+28] 
09870040|~ EB G2 JMP SHORT 00870051 
525B76B4F| CD20 5536EB01 UsDCall 1EBSéS5 
00870255| JA SF47148D 2C07 CALL FAR 872C:8D14478F 
aBE?Gasc 8977 18 MOV DWORD PTR DS: [EDI+18],ESI 


图 53-22 ”B70000 地 址 处 的 代码 





B70000 地 址 处 的 代码 是 ASProtect 添 加 的 垃圾 代码 ， 用 来 设置 调试 障碍 ， 增 加 调试 难度 。 在 
OllyDbg 调 试 器 中 跟踪 调试 时 ， 要 运行 约 3 万 条 指令 ( 包含 循环 中 反复 调用 的 指令 )， 然 后 返回 原 
代码 中 的 4010BB 地 址 处 ( 参考 图 53-23 )。 


esagigco| ES 1A100000 CALL api redi.004020DF 
G94919C5| ma ES984000 MOU DWORD PTR DS:r4898E81,ERX 
ed 

w HHE Run trace 

















20491985 CALL 00878000A 
00B70000| PREFIX REP: 
Main 08B78885| PUSH EDI ESP=8612FF3E 
J 20100. |Main 00B70006| PREFIX REP: 
30099, Main 00870008! PUSHFD ESP=0912FF48 
30098. |Main 6BB786B8C| PREFIX REP: 
30097. | Main 66B76511| JMP SHORT 06870016 
] Hain 00B70016| LEA EDI, DWORD PTR DS: ERK*EBP43 EDI=0012FFDF 
Main BoB7661R| JMP SHORT GaBr?aeiF 
Main 00B7001F| LEA EDI, DWORD PTR D$:0EDI«EBP-3 EDI=0025FF20 
d 20093. |Main 99B76623| SUB EDI, EBP FL=P, EDI=8812FFAG 

















图 53-23 ”跟踪 结果 


也 就 是 说 ， 原 代码 中 的 1 条 CALL DWORD PTR DS:[406000] 指 令 被 换 成 了 3 万 条 指令 CIR 
Kernel32!GetCommandLineA() API 外 ， 其 他 很 多 API 也 采用 这 种 调用 方式 )。 该 方式 执行 效率 非常 
低 ， 但 是 对 保护 代码 与 增加 代码 逆向 分 析 难 度 来 说 ， 效 果 非 常 棒 。 

垃圾 代码 中 包含 实际 调用 API 的 代码 ， 如 图 53-24 所 示 。 


SBBRBBR4| 5D POP EBP 
B5BRBBRS FF7426 18 PUSH DWORD PTR DS; [ESI+18] 
BoBROORS|  O3F3 RDD ESI,EBX 

BGEHBORE| SE POP ESI 











mo4aenaobD| AD 2F S1 7C 6R 
ea4nénecelFR CR 31 7CI1R 1E 88 7C| w 


图 53-24 调用 kernel32!GetCommandLineA() API 
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与 前 面 介 绍 的 PESpin 示 例 程序 ( api redirectionl.exe ) 不 同 ， 该 示例 程序 会 直接 调用 实际 
f] kernel32!GetCommandLineA() API， 并 修改 返回 地 址 ( 4010BA 一 4010BB )， 代 码 如 图 53-25 
所 示 。 


595645SE3F 
Be455ER2 
BEB4SSER7 


4B1B8BB (api redyfi 
Stack DS:[a812FF3Cgef 








G012FFéC Fa ?C BF FF 90 684 35 B68|30 CF 7F 02 98 FF 12 80 ??? >> (2826. 


图 $3-25 ”调用 kernel32!GetCommandLineA() API 


通过 跟踪 图 53-20 中 4010B5 地 址 处 的 CALL B70000 指 令 调试 到 此 ， 图 53-25 中 [EAX]= 
[12FF3C]=4010BA 即 是 调用 B70000 函 数 后 的 返回 地 址 。 若 直接 返回 4010BA 地 址 就 会 引发 错误 ， 
所 以 ,借助 455E9D 地 址 处 的 MOV 指 令 将 返回 地 址 修改 为 4010BB， 如 图 53-26 所 示 。 

BON =n F 
图 53-25 的 地 址 区 域 ( 455E9D ) 是 ASProtect 的 代码 节 区 区 域 (参考 图 53-21), 与 
B70000 区 域 一 样 ， 它 不 是 为 了 生成 垃圾 代码 而 分 配 的 内 存 区 域 ， 而 是 实 实在 在 的 
ASProtect 的 代码 节 区 区 域 。 


最 后 返回 原 代码 的 4010BB 地 址 处 ， 代 码 如 图 $3-26 所 示 。 


66B38BB1 
ü 












OUT 26, EAX 
&8835DBR RDD BL,RL 
üapeoaBc ADD BYTE PTR DS:LERX1,RL 









eeizrFz4|4E Bi BS 00/80 OG 49 O0|NO?..0. ESP+4  GüI2FFT4 | GOBSOI4E|RETURN to gaB5914E 
eeizFF7clsD DƏ 44 Q9|E0 FF 12 00] 12.24. ESP+3 g012FF78 | 8D495866| api_redi.684BD5B6 


图 53-26 ”返回 4010BB 地 址 处 的 代码 






图 53-26 中 的 代码 ( B800B3 ) 也 是 ASProtect 创 建 的 多 态 & 混 乱 代 码 ， 每 次 调试 都 会 变化 。 

我 们 至 此 学 习 了 具有 复杂 形态 的 API 重 定向 示例 ，API 重 定向 这 种 方式 牺牲 了 代码 的 运行 速 
度 ， 却 大 大 提高 了 代码 的 复杂 性 ， 从 而 获得 了 很 好 的 反 调 试 效 果 。 

若 代 码 逆向 分 析 人 员 事 先 并 不 知道 程序 中 调用 了 哪些 API( 或 者 要 花 很 长 时 间 才 能 查 明 ), 就 
会 使 代码 逆向 分 析 工 作 变 得 十 分 困难 。 因 此 ，API 重 定向 是 一 种 相当 有 效 的 反 调 试 技术 ， 许 多 程 
序 保护 器 都 支持 它 。 
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提示 





参考 上 面 AX, 请 各 位 亲自 跟踪 调试 B70000 处 的 函数 。 我 借助 OllyDbg 的 
“硬件 断 点 ”功能 ， 获 取 了 图 53-25、 图 53-26 中 出 现 的 455E9D 与 B800B3 地 址 。 进 
入 B70000 函数 后 ,返回 地 址 存储 在 栈 中 , 在 ESP 值 (我 在 12FF3C 地 址 处 设置 硬件 断 
点 后 获取 了 455E9D 地 址 ) 与 4010BB 地 址 处 设置 断 点 跟踪 ， 就 会 见 到 B800B3 地 址 处 
的 JMP 指令 。 


API 重 定向 技术 在 结构 上 与 API 钧 取 技 术 有 很 多 类 似 的 地 方 : 它们 都 不 直接 调用 原 API， 而 是 
添加 自身 代码 并 执行 后 再 调用 。 二 者 最 大 的 不 同 在 于 ， 它 们 的 目的 是 不 一 样 的 : API 重 定向 用 来 
增加 代码 调试 的 难度 ， 而 API 钓 取 则 用 来 在 API 调 用 前 /后 添加 男 外 的 功能 。 


53.7 Debug Blocker (Self Debugging) 


Debug Blocker ( Self Debugging ) 也 是 一 种 高 级 反 调试 技术 ， 顾名思义 ， 它 在 调试 模式 下 运 
行 自身 进程 。 

图 53-27 中 的 PESpin(1.32). i Mie 可 以 看 到 ， 同 一 进程 以 父 进程 (PID: 184) / 
子 进程 (PID: 1424) 形式 运行 。 其 实 ， 它 们 是 调试 器 (PID: 184) 与 被 调试 者 (PID: 1424) 
的 关系 。PESpin 运 行 后 会 查找 EMI CIE, 然后 以 调试 模式 执行 。 





% Process Explorer - Sysinternals: www.sysinternals.com ... | ffe x) 
Eile Options View Process bee Users Help 
d il R u =m Im) x dà 
Process CPU Description 
a System Idle Process 98.46 

Hardware Interrupts 

Deferred Procedure Calls 


CPU Usage: 1.5476 er TE 322 Processes. 27 


图 $3-27 Debug Blocker 的 特征 : 调试 器 /被 调试 者 关系 





P MM M—MHá——— M Ó— 
Debug Blocker 是 自我 创建 技术 ( 以 子 进程 形式 运行 自身 进程 ) 的 演进 形式 。 自 我 
创建 技术 中 ， 子 进程 负责 执行 实际 原 代码 ， 父 进程 负责 创建 子 进 程 、 修 改 内存 ( 代码 / 
数据 )、 更 改 EP 地 址 等 。 所 以 仅 调试 父 进 程 将 无 法 转 到 OEP 代码 处 ， 这 样 能 起 到 很 好 
的 反 调试 效果 。 但 调试 时 若 用 附加 命令 将 子 进程 附加 到 调试 器 ， 这 种 反 调试 手法 就 会 
失去 作用 。Debug Blocker 技 术 的 出 现 正 是 为 了 弥补 这 一 不 足 。 








Debug Blocker 技 术 有 如 下 优点 。 
第 一 ， 防 止 代码 调试 。 因 子 进 程 运行 实际 的 原 代码 且 已 处 于 调试 之 中 ,原则 上 就 无 法 再 使 用 
其 他 调试 器 进行 附加 操作 了 【第 57 章 中 将 介绍 一 种 方法 ， 它 可 以 解决 该 问题 并 顺利 实现 调试 )。 
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第 二 , 能够 控制 子 进程 (Debuggee, 被 调试 者 ) 调试 器 -被 调试 者 关系 中 ,调试 器 具有 很 大 


权限 ， 可 以 处 理 被 调试 进程 的 异常 、 控 制 代码 执行 流程 等 。 


Debug Blocker 技 术 的 第 二 个 优点 使 代码 调试 变 得 非常 困难 。 下 面 比较 常规 反 调试 技术 与 


Debug Blocker 技 术 。 


图 $3-28 左 侧 为 应 用 常规 SEH 技 术 的 反 调 试 示例 ， 右 侧 为 应 用 Debug Blocker 技 术 的 反 调 试 示 
例 。 常 规 SEH 技 术 中 ， 有 异常 处 理 器 代码 位 于 相同 的 进程 内 存 空 间 ; 但 Debug Blocker 技 术 中 , (处 
理 被 调试 进程 所 发 异常 的 ) 异 常 处 理 器 代码 位 于 调试 进程 ( 请 注意 , 对 于 被 调试 进程 所 发 的 异常， 


调试 器 拥有 优先 处 理 权 )。 


所 以 ， 为 了 调试 子 进程 ， 必 须 先 断 开 与 已 有 调试 器 的 连接 ， 但 这 样子 进程 又 无 法 正常 运行 。 


这 正 是 逆向 分 析 Debug Blocker 最 难 的 部 分 。 
常规 反 调 试 





d SEHandler | 





Debug Blocker 


进程 《调试 器 ) 


SE Handler | 


Child(Debuggee) 





图 53-28 ”调试 器 处 理 被 调试 者 异常 


第 57 章 中 将 调试 应 用 了 Debug Blocker 的 示例 程序 ， 帮 助 各 位 进一步 了 解 。 


提示 


Nanomite 技术 由 Debug Blocker 技 术 发 展 而 来 , 该 技术 会 查找 被 调试 进程 内 部 的 代 
HB, 将 所 有 条 件 跳 转 指 令 ( Jcc 指令 ) 修改 为 INT3 ( 0xCC ) 指令 (软件 断 点 ), 或 其 他 
触发 异常 的 代码 。 并 且 , 调试 器 内 部 有 表格 , 含有 被 修改 的 Jcc 指令 的 实际 地 址 位 置 以 
及 要 跳 转 的 地 址 。 热 行 被 调试 者 内 部 修改 后 的 指令 就 会 触发 异常 ， 控 制 权 即 被 转交 给 
调试 器 。 调 试 器 通过 发 生 异 常 的 地 址 从 (自身 持 有 的 ) 表格 中 获取 要 跳 转 的 地 址 ， 然 


后 通知 被 调试 者 。 图 53-29 是 含有 条 件 跳 转 指 令 的 原 代码 。 


09401226 
00481231 
90401293 
08401238 
ug4alzsn 
Bo4a 
60401242 
ua4ai243 
60401246 
00401248 
29946124A 
8946124C 





881D 14954008 


» 75 8C 


< 


v 


me40124E |. 


00401250 
ga4olz52 
00491255 


00401258 |^ 


83401250 
09340125E 


[53-29 





R1 F0894000 
Bsca 


74 22 
8800 EC894008 
56 





MOU BYTE PTR DS:[489514J,BL 
JNZ SHORT 00480126F 

MOU EAX, DWORD PTR DS:[4089F01 
TEST EAX, EAX 

JE SHORT 06040125E 

MOV ECX, DWORD PTR DS:[4089EC] 
PUSH ESI 

LEA ESI, DWORD PTR DS:[ECX-4J 
CHP ESI, EAX 

JE SHORT 00401250 

MOU EAX, DWORD PTR DS:[ESI] 
TEST EAX, EAX 

JE SHORT 00401252 

CALL EAX 

SUB ESI, 4 

CMP ESI,DWORD PTR DS:[4089F8] 
JHB SHORT 00480124A 

POP ESI 

PUSH 00406018 


含有 条 件 跳 转 指 令 的 原 代码 
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使 用 PESpin 保 护 器 向 前 面 的 原 代 码 应 用 Nanomite 技 术 ， 出 现 如 图 $3-30 所 示 的 代码 。 

认真 比较 可 以 发 现 ，2 个 字 节 的 Jcc/MOV 指 令 全 部 被 修改 为 LEA EAX,EAX 这 类 怪异 的 指令 。 
执行 这 种 代码 时 就 会 触发 EXCEPTION ILLEGAL INSTURCTION 异 常 ， 系 统 会 将 控制 权 转 移 给 
调试 器 。 


be 3 8810 14854000 MOU BYTE PTR DS: [488514],BL 
00401231 enca LEA ERS, ERN 





Ba481233 | mi Fass4ano MOU EAX, DWORD PTR DS:[4089F01 

09491228 | esce TEST EAX, EAX 

üB4G1230 |  SDC8 

06409123C | 8B8D Ec834688 — | MOU ECX, DWORD PTR DS:L4889EC] 
2 PUSH ESI 


LER ESI,DWORD PTR DS:LECk-41 





ga4ai248 3DCB 
ga48124C 8500 TEST EAX, EAX 








Ə949124E | 80C9 

Ba461259 | FFD0 CALL ERX 

08491252 | 83EE B4 SUB ESI, 4 

60481255 | 32835 FØ89400A |CMP_ESI, DWORD PTR DS:L4889F01 
8543125B | sprce 

954912S5D | SE POP ESI 

üb4nizsE | 68 186804000 PUSH 00406018 


图 $3-30 ”应 用 Nanomite 技 术 的 代码 


若 想 正常 调试 这 种 应 用 了 Nanomite 技 术 的 代码 , 需要 把 修改 后 的 代码 恢复 为 原 代码 。 逐 一 手 
动 修改 会 非常 费力 ， 大 量 恢复 工作 要 实现 自动 化 处 理 ， 这 需要 我 们 具备 一 定 的 编程 思维 与 能 力 。 
所 以 ， 调 试 这 种 应 用 了 Nanomite 技 术 的 代码 是 很 有 难度 的 。 


53.8 小结 


本 章 讲解 了 PE 保护 器 中 常用 的 高 级 反 调试 技术 的 相关 内 容 ( 随 着 反 调试 技术 的 不 断 发 展 , 各 
种 技术 会 应 运 而 生 )。 

km ee 
我 刚 开始 学 习 代 码 逆 向 分 析 技 术 时 ， 曾 经 党 试 调试 ASProtector。 连 续 分 析 了 好 几 
天 ， 但 是 连 OEP 代码 的 边 都 没 摸 到 ， 总 是 在 奇怪 的 地 方 徘徊 。 这 是 因为 受到 了 反 调 试 
代码 的 阻碍 ， 这 些 代码 常 被 称 为 “死亡 代码 "。 若 想 顺 利通 过 数量 庞大 的 代码 ， 必 须 坚 
信 自 己 最 后 一 定 能 够 找到 OEP 代码 。 其 实 ， 陷 入 “死亡 代码 ”的 沼泽 是 绝对 不 可 能 找 
到 OEP 代码 的 。 调 试 时 会 不 断 出 现 混乱 代码 ， 让 人 疲惫 不 堪 。 我 当时 跟踪 调试 这 些 代 
码 时 也 深 受 其 苦 ， 最 后 竟然 不 知 不 觉 间 打 起 了 睦 睡 ， 那 时 才 真 正体 会 到 反 调 试 技术 的 
可 怕 。 这 些 反 调 试 技术 从 精神 与 肉体 上 折磨 逆向 分 析 人 员 ， 打 消 他 们 调试 代码 的 念头 。 
两 年 后 ， 我 再 次 挑战 ASProtector， 学 习 从 网 络 上 获取 的 各 种 反 调 试 相关 资料 ， 最 终 顺 
利 达 到 OEP 处 ， 当 时 真是 高 兴 坏 了 。 

但 那 也 只 是 回避 了 反 调 试 技术 而 到 达 OEP 处 而 已 ,其 实 仍 未 能 完全 掌握 ASProtector 
的 工作 原理 ( 内 部 算法 ),。 我 当时 再 次 感受 到 自身 的 不 足 ， 觉 得 要 学 的 东西 还 很 多 , 一 
定 要 虚心 学 习 。 另 一 方面 也 认为 编写 该 PE 保护 器 的 人 实在 太 有 水 平 了 。, 各 位 的 逆向 分 
析 技 术 达 到 一 定 水 平 后 ， 我 建议 大 家 调试 一 下 PE 保护 器 。 查找、 学 习 相 关 资 料 ， 在 调 
试 过 程 中 认真 分 析 ， 相 信 各 位 会 学 到 大 量 知识 并 积累 丰富 经 验 ， 进 一 步 提 高 代码 调试 
水 平 。 
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从 现在 开始 , 我 们 将 用 多 种 示例 程序 练习 调试 , 并 通过 这 些 调试 练习 进一步 提高 各 位 的 调试 
水 平 。 第 一 个 调试 示例 是 Windows 服 务 程序 ， 本 章 主要 学 习 其 调试 方法 。 

服务 程序 比较 难 调试 ， 有时， 即使 是 逆向 分 析 经 验 丰 富 的 人 调试 起 来 也 并 非 易 事 。 本 章 主要 
学 习 服 务 程序 的 调试 方法 ， 帮 助 各 位 掌握 。 


54.1 ”服务 进程 的 工作 原理 


服务 (Service) 程序 由 SCM (Service Control Manager， 服 务 控制 管理 器 ) 管理 。 运 行 服务 
程序 时 ， 需 要 由 服务 控制 器 (Service Controller) 执行 启动 命令 。 服 务 控制 器 向 SCM 提 出 服务 控 
制 请 求 ，SCM 向 服务 程序 传递 控制 命令 ， 并 接收 其 返回 的 值 ( 参考 图 54-1 )。 


控制 请 求 
(启动 /停止 /暂停 /重启 ) 


控制 器 SCM 








返回 值 
图 54-1 服务 系统 组 织 结构 


提示 
服务 控制 器 无 法 直接 向 服务 程序 下 达 命 令 ， 必 须 通 过 SCM 传达 。 





54.1.1 服务 控制 器 


Windows 默 认 提 供 了 服务 控制 器 ， 在 “控制 面板 ”中 单 击 “管理 工具 ” ， 打 开 “ 管 理工 具 ” 
窗口 ， 如 图 54-2 所 示 。 

在 图 54-2 中 双击 “服务 ”图 标 即 可 运行 服务 控制 器 ， 如 图 54-3 所 示 ( 也 可 以 直接 在 控制 台 窗 
口 输入 “services.msc” 命 令 )。 

图 $4-3 列 出 了 设置 在 系统 中 的 所 有 服务 列表 ， 在 服务 列表 中 选择 想 要 控制 的 服务 即 可 ( 启动 / 
停止 /暂停 /重启 )。 选 中 指定 服务 ， 单 击 “ 启 动 服 务 ” 按 钮 ， 弹 出 “服务 控制 ”窗口 ， 显 示 正 在 启 
动 指定 服务 信息 ， 如 图 所 示 。 

服务 进程 正常 启动 后 ， 图 5$4-4 中 的 服务 控制 窗口 消失 ， 服 务 状 态 变 为 “已 启动 "。 下 面 详细 
了 解 服务 启动 过 程 。 
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图 $4-2 ”控制 面板 -管理 工具 -服务 
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图 54-3 ”服务 列表 











O Windows 正在 尝试 启动 本 地 计算 机 上 的 下 列 服务 ， 


SvcTest 








- Fuse | 
| 





图 54-4 ”服务 控制 
54.1.2 ”服务 启动 过 程 
图 54-5 大 致 描述 了 服务 程序 的 启动 过 程 。 


所 有 服务 程序 都 是 由 外 部 (服务 控制 器 ) 调用 StartService() API 启 动 的 (参考 : 若 服 务 为 自 


启动 服务 ， 则 由 SCM 调 用 StartService0 启 动 )。 
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[e 
服务 | 服务 


EP(Entry Point) Code 
Main() 
( 












(1) StartService( ) 


(2)StartServiceCtriDispatcher( ) 





Service 
status window 
is closed 





(3) SetServiceStatus/SERVICE RUNNING) 














) 


图 $4-5 ”服务 启动 过 程 





服务 进程 启动 过 程 

(1) 服务 控制 器 调用 StartService() 

服务 控制 器 调用 StartService0 时 ，SCM 会 创建 相应 服务 进程 ， 然 后 执行 服务 进程 的 EP 代码 。 

(2) 服务 进程 调用 StartServiceCtriDispatcher() 

为 了 以 服务 形式 运行 ， 必 须 在 服务 进程 内 部 调用 StartServiceCtriDispatcher() API 来 注册 服务 
主子 数 SvceMain() 的 地 址 。 调 用 StartServiceCtrliDispatcher0 站 时， 返回 服 务 控制 器 的 StartService0) 函 
数 。SCM 调 用 服务 进程 的 服务 主 函 数 SvcMain(0)。 

(3) 服务 进程 调用 SetServiceStatus() 

虽然 已 经 创建 了 服务 进程 , 但 尚未 以 服务 形式 运行 。 当 前 状态 仍 为 SERVICE START PENDING。 
在 服务 主 函 数 SvcMain(0) 内 部 调用 SetServiceStatus(SERVICE RUNNING) API 后 ， 才 正式 以 服务 进 
程 形式 运行 ( 此 时 图 54-4 中 的 服务 控制 状态 窗口 消失 )。 

综 上 所 述 , 服 务 程序 先 由 SCM 创 建 进程 ,然后 控制 转移 给 SveMain() 函 数 ,调用 SetServiceStatus 
(SERVICE RUNNING) API， 这 样 才能 以 服务 进程 的 形式 运行 。 对 服务 进程 尚 不 熟悉 的 朋友 ， 请 
认真 阅读 上 面 关 于 服务 进程 启动 过 程 的 描述 。 下 面 通过 一 个 简单 的 示例 程序 ( DebugMel.exe ) 来 
帮助 各 位 进一步 了 解 服务 进程 的 工作 原理 。 

提示 

示例 程序 在 Windows XP/7 (32 位 ) 中 正常 运行 。 








54.2 DebugMe1.exe 示例 讲解 

DebugMel.exe 进 程 以 2 种 形式 运行 ， 一 种 为 常规 运行 形式 ， 负 责 服务 的 安装 与 删除 ; 另 一 种 
由 SCM 以 服务 形式 运行 。 常 规 运行 时 需要 接收 运行 参数 ( install 或 者 uninstall )， 以 服务 形式 运行 
时 则 不 需要 。 
54.2.1 安装 服务 

为 了 将 示例 程序 安装 为 服务 , 我们 先 将 其 复制 到 合适 的 文件 来 , 然后 运行 图 54-6 所 示 的 命令 。 
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| ga SEA CA Windows System32Vemd.exe 


installed successfulgu 














图 54-6 ”安装 服务 


服务 安装 成 功 后 ， 可 以 在 服务 列表 中 看 到 ， 如 图 54-7 所 示 。 








iem TIR p 
| XH BEA SSV) WAH 
服务 (本 地 ) 











图 54-7 安装 在 系统 中 的 SveTest 服 务 
从 服务 列表 可 以 看 到 ， 服 务 名 为 SvcTest。 选 中 它 ， 在 菜单 栏 中 依次 选择 “操作 -属性 ”菜单 ， 
打开 属性 窗口 即 可 查看 有 关 该 服务 的 更 多 信息 ( 也 可 以 选择 服务 ,在 鼠标 右键 中 选择 “属性 ”菜单 )， 
如 图 54-8 所 示 。 
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图 54-8 
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弹出 服务 属性 对 话 框 ， 如 图 54-9 所 示 。 



























|| 可 执行 文件 的 路 径 : 
I| Ci:\work\Debuallel exe 


启动 类 型 FE): [sab xj | x 
HARTARA BHAT. 
| 服务 杖 态 。 est 
| (She. GT so RO | 
| 当 从 此 处 启动 服务 时 ， 您 可 指定 所 适用 的 启动 参数 。 iB 








| 启动 参数 ao : 








CRDI mA Ts 


图 54-9 ”SvcTest 服 务 属性 对 话 框 


服务 属性 对 话 框 的 “常规 ”选项 卡 中 包含 了 所 有 服务 相关 信息 。SvcTest 服 务 程序 的 可 执行 文 
FREA : c:\work\DebugMe1.exe (示例 程序 的 安装 路 径 )， 并 且 服 务 的 “启动 类 型 ”为 “手动 ” 
(需要 运行 时 要 手动 启动 )， 当 前 的 “服务 状态 ”为 “已 停止 ”。 

提示 

服务 启动 类 型 大 致 可 分 为 手动 与 自动 这 2 种 。 为 了 方便 ， 上述 示例 程序 采用 了 手 

动 启 动 方式 。 若 启动 类 型 为 自动 方式 ， 则 系统 启动 时 即 运行 服务 。 


54.2.2 ”启动 服务 
下 面 开始 启动 服务 ， 选 中 SvcTest 服 务 ， 单 击 “启动 服务 ”按钮 ， 如 图 $4-10 所 示 。 
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图 $4-10 ”启动 SvcTest 服 务 
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服务 成 功 启 动 后 ， 服 务 进程 (DebugMel.exe ) 也 就 运行 起 来 ， 如 图 54-11 所 示 。 







le Options Process- Find didi 4 
Wi 国 | = E i) | x | 8 @ 
Process PID CPU 
m Ej System Idle Process 0 9231 


csrss; exe 344 
380 






































Nlsm,exe 





图 54-11 SvcTest 服 务 进程 ( DebugMel.exe ) 


图 54-11 中 需要 注意 的 是 ，SvcTest 服 务 的 进程 ( DebugMel.exe ) 是 以 services.exe 进 程 的 子 进 
FE (Child) 形式 运行 的 。 其 实 ， 所 有 服务 进程 都 以 该 形式 运行 。Services.exe 进 程 就 是 SCM。 示 
例 程序 DebugMel.exe 的 功能 相当 简单 ， 它 经 过 一 定时 间 间 隔 输 出 调试 字符 串 (调用 
OutputDebugString() API ), 使 用 DebugView 实 用 工具 可 以 查看 输出 的 调试 字符 串 , 如 图 54-12 所 示 。 











Debug Print 


0.00000000 [3508] [SvcTest] service is running... 
3.00039554 [3508] [SvcTest] service is running... 
6.001 17350 [3508] [SvcTest] service is running... 


3.00027843 [3508] [SvcTest] service is running... 








图 54-12 ”SvcTest 服 务 输出 的 调试 字符 串 





提示 

Windows Vista 以 上 的 系统 中 需要 用 管理 员 权 限 来 运行 DebugView， 在 菜单 栏 中 
依次 选择 Capture-Capture Global Win32 菜单 才能 捕获 输出 的 调试 字符 串 ， 如 图 54-13 
所 示 。 
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File Edit ] Options Computer Help 
> v Capture Win32 Ctrl W 
Capture Global Win32 









| Capture Kernel Ctrl«K 
| Enable Verbose Kernel Output 

| Y Pass-Through 

| 


Capture Events Ctrl«E 





Log Boot 





[854-13 DebugView 的 Capture-Capture Global Win325 fe 








54.2.3 JERE 


下 面 看 看 DebugMel.exe 的 源 代码 ( DebugMel.cpp )。 
#main() 























void _tmain(int argc, TCHAR *argv[]) 
1 
TCHAR szPath[MAX PATH] = {0,}; 
SERVICE TABLE ENTRY DispatchTable[] = 


t 
( SVCNAME, (LPSERVICE MAIN FUNCTION)SvcMain }, 


{ NULL, NULL ) 
hN 


// For service mode 
if( argc == 1 ) 


t 
if (!StartServiceCtrlDispatcher( DispatchTable )) * 
1 
 tprintf(L"StartServiceCtrlDispatcher() failed!!! [%d]\n”, 
GetLastError()); 
} 
} 


// For normal mode 
else if( argc == 2 ) 


{ 
if( !GetModuleFileName(NULL, szPath, MAX PATH) ) 
1 
 tprintf(L"GetModuleFileName() failed! [%d]\n”, 
GetLastError()); 
return; 
) 
// Install 
if( _tcsicmp(argv[1], L"install") == 0 ) 
t 
InstallService(SVCNAME, szPath); 
return; 
} 


// Uninstall 
else if( tcsicmp(argv[1], L"uninstall") == 0 ) 
1 

UninstallService(SVCNAME) ; 
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return; 
} 
else 
{ 
 tprintf(L"Wrong parameters!!!\n”); 
$ 


} 
_tprintf(L”NnUSAGE : %s install | uninstallNn”, argv[0]); 


从 main0 函 数 代码 可 以 看 到 ， 根 据 有 无 运行 参数 ， 程 序 可 分 别 以 服务 模式 (无 参数 ) 或 常规 
模式 ( 有 参数 ) 运行 。 以 服务 模式 运行 时 会 调用 StartServiceCtrlDispatcher0 API, Jri 2 3 EK 
数 ( SvcMain() ); 以 常规 模式 运行 时 ， 根 据 所 给 参数 的 种 类 ， 分 别 调用 InstallService(O/ 
UninstallService() EIC, 它们 分 别 用 来 安装 或 印 载 服务 ( 由 于 这 2 个 函数 比较 简单 ， 此 处 不 再 详细 
说 明 ， 请 各 位 参考 示例 源码 以 及 MSDN 分 析 )。 

#SvcMain() 

554 a ERI SN 


VOID WINAPI SvcMain(DWORD argc, LPCTSTR *argv) 
1 


























// Service Control Handler 

g hServiceStatusHandle = RegisterServiceCtrlHandler( 
SVCNAME , 
SvcCtrlHandler); 

if( !g hServiceStatusHandle ) 


1 
OutputDebugString(L"RegisterServiceCtrlHandler() failed!!!"); 


return; 


} 


// Service Status - SERVICE RUNNING 
g_ServiceStatus.dwCurrentState = SERVICE RUNNING; 
SetServiceStatus(g hServiceStatusHandle, &g ServiceStatus); 


// debug 输 出 调试 字符 事 
while( TRUE ) 


t 
OutputDebugString(L"[SvcTest] service is running..."); 
Sleep(3 * 1000); // 3 # 


} 
VOID WINAPI SvcCtrlHandler(DWORD dwCtrl) 


1 
switch(dwCtrl) 


t 
case SERVICE CONTROL STOP: 
g_ServiceStatus.dwCurrentState = SERVICE STOP PENDING; 
SetServiceStatus(g hServiceStatusHandle, &g ServiceStatus); 


g ServiceStatus.dwCurrentState - SERVICE STOPPED; 
SetServiceStatus(g hServiceStatusHandle, &g ServiceStatus); 


OutputDebugString(L"[SvcTest] service is stopped..."); 
break; 


default: 
break; 
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以 上 是 SveMain0 〇 函数 代码 。 先 调用 RegisterServiceCtrIHandler() API 来 注册 服务 处 理 函 数 
( SvcCtrlHandler )， 然 后 调用 SetServiceStatus() API 将 服务 状态 修改 为 SERVICE RUNNING ( 此 时 
图 54-4 中 的 服务 控制 窗口 消失 )。 最 后 在 while 循 环 中 每 隔 3 秒 调用 1 次 OutputDebugString() 函 数 , 输 
出 调试 字符 串 。 本 示例 服务 (SvcTest ) 的 功能 非常 简单 ， 仅 用 来 输出 调试 字符 串 。 


54.3 ”服务 进程 的 调试 


要 想 准 确 调 试 服务 程序 , 就 不 能 像 对 待 普通 程序 一 样 直 接 用 调试 器 启动 并 调试 , 而 需要 将 调 
试 融 附加 到 SCM 运 行 的 服务 进程 上 。 这 正 是 调试 服务 进程 的 困难 之 处 , 但 理解 了 服务 的 工作 原理 
后 ， 解 决 起 来 就 变 得 相当 简单 。 


54.3.1 问题 在 于 SCM 


服务 进程 由 SCM 运 行 ， 这 是 服务 进程 调试 的 核心 所 在 。 

O 服务 进程 由 SCM 运行 。 

口 服务 核心 代码 主要 存在 于 服务 主 函 数 ( SvcMain0 ) Fo 

口 服务 主 函 数 ( SveMainO ) 由 SCM 正常 调用 。 

我 们 要 调试 的 是 服务 主 函 数 ( SveMain() ), 但 使 用 调试 器 打开 服务 程序 的 可 执行 文件 并 开始 
调试 时 ， 服 务 主 函数 并 不 运行 ， 所 以 调试 时 需要 将 SCM 运 行 的 服务 进程 附加 到 调试 器 。 


54.3.2 ”调试 器 无 所 不 能 


使 用 调试 器 打开 服务 可 执行 文件 无 法 直接 调试 服务 主 函 数 ( SveMain() ) 代码 。 原 因 在 于 ， 
SCM 不 会 调用 服务 主 函 数 ( 因 非 由 SCM 运 行 ， 故 不 能 运行 它 )。 但 这 并 不 意味 着 没有 解决 方法 。 
因为 调试 名 拥有 被 调试 进程 的 强大 权限 ， 所 以 可 以 先 将 调试 位 置 强制 指定 为 服务 主 函 数 ( 如 : 
OllyDbg 的 New orign here 菜 单 )， 然 后 再 调试 。 使 用 这 种 方法 调试 服务 主 函 数 不 会 有 什么 大 问题 ， 
如 果 这 种 方法 有 效 ， 建 议 各 位 使 用 。 不 过 , 使 用 这 种 方法 必须 拥有 强大 的 调试 器 权限 才 行 ， 服 务 
进程 行为 比较 复杂 时 ， 使 用 该 方法 就 可 能 无 法 顺利 完成 调试 。 


54.3.3 ”常用 方法 

调试 服务 最 常用 的 方法 是 ， 先 将 SCM 运 行 的 服务 进程 附加 到 调试 器 后 再 调试 。 思 路 很 简单 ， 
但 执行 方法 可 能 有 问题 。 因 为 SCM 运 行 服务 后 再 进行 附加 操作 的 话 ， 此 时 的 核心 代码 ( 服务 主 函 
数 ) 已 开始 运行 。 因此， 需要 在 SCM 创 建 服务 进程 并 运行 EP 代码 前 附加 到 调试 器 ， 这 需要 一 定 
的 调试 技巧 ， 后 面 的 练习 示例 中 将 介绍 。 
54.4 服务 调试 练习 

下 面 以 DebugMel.exe 服 务 程 序 为 例 练习 服务 调试 。 
54.4.1 直接 调试 : 强制 设置 EIP 


首先 ， 使 用 调试 器 直接 打开 服务 程序 ， 学 习 服 务 程 序 的 调试 方法 。 分 析 调试 服务 程序 的 EP 
代码 与 main() 函 数 代码 时 ， 采 用 的 调试 方法 与 调试 普通 应 用 程序 没有 什么 不 同 。 但 一 般 而 言 ， 服 
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务 程序 的 主要 代码 存在 于 服务 主 函数 ( SveMain() ) 与 服务 处 理 函 数 ( SvcHandler0 ) 中 。 

由 调试 器 而 非 SCM 运 行 的 服务 进程 不 会 调用 SvcMain() 与 SvcHandler0 函 数 。 所 以 需要 先 得 到 
这 两 个 函数 的 地 址 ,然后 再 将 调试 位 置 移动 到 那里 。 在 OllyDbg 调 试 器 中 打开 DebugMel.exe 程 序 ， 
调试 运行 到 main() 函 数 处 显示 代码 ， 如 图 54-14 所 示 。 

在 40106C 地 址 处 可 以 看 到 StartServiceCtrliDispatcher() API。 对 于 EXE 文 件 形 态 的 Windows 服 务 
程序 而 言 ,必须 在 其 EP 代码 内 部 调用 StartServiceCtriDispatcher() API, 将 服务 主 函 数 ( SveMain() ) 
的 地 址 通知 给 SCM。 所 以 ,查找 该 API 即 可 获得 SveMain() 地 址 。 

Rr- — 
对 于 DLL 文件 形式 的 Windows 服务 而 言 ， 服 务 主 函数 (默认 为 ServiceMain ) 为 
导出 函数 ,SCM 会 调用 运行 导出 函数 , 所 以 不 需要 另外 调用 StartServiceCtrlDispatcher() 
API ( 若 想 把 服务 主 函 数 的 名 称 修改 为 其 他 名 称 (3E ServiceMain )， 只 要 向 相关 注册 表 





注册 即 可 )。 
00401000T $ S w PUSH: F 
9049091091 |. 8BEC MOU EBP,ESP 
90401002 ] ， 31EC 1C020000 |SUB ESP,21C 
00401009 | . R1 04C04000 MOY ERX,DWORD PTR DS:[40C0041 
9040109E ||. 33C5 XOR EAX, EBP 
@0401010 |. 8945 FC MOU DWORD PTR SS:[EBP-4J,ERX 
0904010913]. 56 PUSH ESI 
8080491014 |. 8875 BC MOU ESI, DWORD PTR SS: [EBP+C] 
0401817] |. 33C0 XOR EAX, EAX 
9909491013 |. 68 66629669 PUSH 286 
9040191E || .. 50 PUSH ERX 
BO46161F||. 8D80 F6FDFFFF |LER ECX, DWORD PTR SSs [EBP-20A] 
9909401925 |. 51 PUSH ECX 
0040601026 | . 66:898S F4FDFF| MOU WORD PTR SS:LEBP-280C1,RX 
g@9401020 |. ES SE380000 CALL 88404990 


Sodales . 8B45 88 MOU ERX,DWORD PTR SS: [EBP+8] 


. C?85 ESFDFFFF | MOU DWORD PTR $5: [EBP-2192,e 08401320 
. C785 ECFDFFFF | MOV DWORD PTR SS:[EBP-2141,8 
élj. C785 FOFDFFFF nou aonb PTR SS:tEBP-2101, o 


p$eruiceTable = ntdll.KiFast] 
StartServiceCtriDispatcheri! f 








50401074||., @F8S BS5000000 | JHZ 80040112F 
Ba4elavR||. FF15 28904000 |CALL DWORD PTR DS:t«X&KERNEL32. GetLastEr] [GetLastErvor 








图 54-14 DebugMel.exe 文 件 的 main(0) 函 数 


StartServiceCtrlDispatcher() API 的 pServiceTable 参 数 为 SERVICE TABLE ENTRY 结构 体 指 
针 。 跟 踪 该 结构 体 即 可 得 到 服务 名 称 字符 串 (“SvcMain”) 与 服务 主 函数 ( SvcMain0 ) 的 地 址 。 


代码 54-3 SERVICE TABLE ENTRY HIKE 


typedef struct SERVICE TABLE ENTRY ( 


LPTSTR lpServiceName; // 服务 名 称 
LPSERVICE MAIN FUNCTION lpServiceProc; // 服务 主 函 数 地 址 
} SERVICE TABLE ENTRY, *LPSERVICE TABLE ENTRY; 出 处 : MSDN 


图 54-14 中 , 调试 运行 到 40106C 地 址 处 的 CALLDWORD PTR DS:[StartServiceCtrlDispatcher()] 
指令 后 ， 查 看 栈 ， 如 图 $4-15 所 示 。 

pServiceTable( 12FD24 ) 的 第 一 个 成 员 ( 40A9CC ) 为 “SvcHost” 字符 串 , 第 二 个 成 员 ( 401320 ) 
为 SvcMain0 函 数 的 地 址 。 
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图 54-15  StartServiceCtrlDispatcher() API 的 pServiceTable 参 数 
提示 
在 图 54-14 中 可 以 看 到 ， 从 401038 地 址 开始 为 设置 SERVICE TABLE ENTRY 结 
构 体 的 代码 。 


使 用 OllyDbsg 调 试 器 中 的 Ctrl+G 命 令 ， 转 到 SvcMain0) 函 数 地 址 处 ( 401320 )， 如 图 $4-16 所 示 。 


[am 320 : v ] 





图 $4-16 转 到 SvceMain0) 函 数 地 址 处 ( 401320 ) 
SvcMain() 函 数 如 图 54-17 所 示 。 





59461325 | . CCR94000 — | PUSH 





ac54B132R | . FF1S 08904000 |CALL DWORD PTR DS:I«*RDURPIS2.RegisterServiceCtrlHandlerW»l 
88481930 | . A3 3CDB4668  |MOU DWORD PTR DS:L48DB3C1l,ERX 

00401335 | . 85C8 TEST ERX,ERX 

08481337 | ., 75 GE JNZ SHORT 88481347 

80481339 | . 68 88AE46868 |PUSH 86456REB8 

B046133E | . FF1S 34984008 |CALL DWORD PTR DS:I4&KERNELS2.DutputDebugStringll»1 
Baü401344 | . C2 6866 RETN & 

00401347 | > 68 A4CD4000 |PUSH 9040CDR4 

9940124C | . 58 PUSH ERX 

GO4DisS4D | . CTBE5 ASCD400A | HOU DWORD PTR DS:L48CDR81, 4 

28481357 | . FF15 BC904000 | CALL DWORD PTR DS:I«&RDURPIS2.SetSeruiceStatus?1l 
8Oe40135D | . SB35 349804000 | MOU ESI, DWORD PTR DS:t«&KERNELS2. DutputDebusStringl/;1 
86481262 | . 3B30 30904000 | HOU EDI, DWORD PTR DS:[X&KERNEL32.Sleep?1 

86481369 | . 80h424 0000009 LER ESP, OWORO PTR SS:[ESP1 

90481378 | > 68 58RE4666  |PUSH Ga4ORnESS 

88481375 | 。 FFD6 CRLL ESI 

80401377 | . 68 686BB86886  |PUSH BEES 

00401537C | . FFD? CRLL EDI 

90480187E | .~ EB FO JMP SHORT 88401378 


图 54-17 SvcMainO ERE 


为 了 从 401320 地 址 开始 调试 ， 需 要 先 将 调试 位 置 ( 准确 地 说 ， 是 被 调试 进程 的 EIP 值 ) 修改 
到 此 处 。 单 击 鼠 标 右键 ， 在 弹出 菜单 中 选择 New origin here 菜 单 ， 如 图 $4-18 所 示 。 










| Run trace > 


Follow immediate constant 


INew origin here Cti«Gray* || 


| Follow in Dump , 






图 54-18 New origin here 菜 单 


这 样 ， 调 试 位 置 即 被 修改 为 服务 主 函数 ( 401320 )， 除 EIP 寄 存 器 外 ， 其 他 值 ( 栈 、 除 EIP 外 
的 寄存 器 ) 都 保持 不 变 ， 如 图 54-19 所 示 。 
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00401386 
8B48R9CC 
FF1S 02904006 | CALL DWORD PTR DS:I«&A8DURPIS2.RegisterSe 


图 $4-19 ”修改 后 的 调试 位 置 









现在 开始 调试 SveMain() 即 可 。 
je k——————— = 
采用 以 上 方式 调试 服务 主 函 数 ( SvcMain() ) 时 需要 注意 :由 于 服务 进程 不 是 由 SCM 
正常 启动 运行 的 ， 所 以 调用 与 服务 相关 的 部 分 API 时 可 能 引发 异常 。 比 如 ， 在 图 54-17 
中 执行 40132A 地 址 处 的 CALL DWORD PTR DS:[RegisterServiceCtrlHandlerW]48 4- , 

就 会 发 生 EXCEPTION ACCESS _VIOLATION(0xC0000005) 异 常 。 为 了 避免 这 种 异常 ， 
可 以 在 调试 器 中 强制 跳 过 对 相关 API 的 调用 ， 也 可 以 像 图 54-20 一 样 设置 调试 器 选项 。 










Stack | Analysis 1 | Analysis 2 | Anais | 


Commands | Disasm Ic CPU 
s] Tace | SFX | Strings | Addresses || 


Security | Debug | Events 













ÍV Ignore memory access violations in KERNEL32 


lgnore [pass to program] following exceptions: 
iV. INT3 breaks 





Iv Invalid or privileged instruction 
[Z AIL FPL exceptions 


[^ Ignore also following custom exceptions ar ranges: 


^ Add last exception 





Add range 
= 


Ed i Undo | Cancel | 


图 54-20 设置 OllyDbg 的 Exception 选 项 





ŻE OllyDbg 调试 器 中 复 选 Memory access violation 项 ， 就 会 忽略 内 存 非法 访问 异 
常 ， 调 试 可 以 继续 。 








以 上 方法 虽然 不 是 什么 硬性 规定 , 但 大 多 数 情 况 下 用 来 调试 服务 主 函 数 是 不 会 有 什么 大 问题 
的 。 当 然 ， 有 时 上 面 的 方法 也 会 失灵 ,无 法 正常 帮助 我 们 完成 调试 ， 此 时 可 以 尝试 接 下 来 要 讲解 
的 方法 。 


54.4.2 ”服务 调试 的 常用 方法 :“ 附 加 ”方式 


根据 不 同情 况 , 我 们 有 时 需要 将 SCM 正 式 运行 的 服务 进程 附加 到 调试 器 调试 。 这 这 一 过 程 需要 
应 用 一 些 简单 的 调试 技术 。 为 了 帮助 各 位 更 好 地 理解 该 过 程 ， 下 面 用 图 54-21 简 单 描述 调 试 技术 
的 具体 操作 步 又 ( 以 调试 EP 代码 为 准 )。 
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SCM 处 于 等 待 状态 
(等 待 SERVICE_RUNNING) 


从 服务 进程 的 
EP 代码 开始 调试 


图 54-21 服务 进程 调试 操作 流程 


以 上 操作 流程 的 核心 是 , 将 服务 进程 附加 到 调试 器 前 要 进入 无 限 循环 , 使 服务 进程 的 重要 代 
码 无 法 运行 。 原 理 非常 简单 ， 但 具体 实施 时 要 充分 考虑 Service Start Timeout ( 服务 启动 超时 ) 这 
一 因素 ， 确 保 上 述 操作 在 规定 时 间 内 【默认 为 30 秒 ) 完成 。 


启动 服务 后 ，SCM 会 在 一 定时 间 内 (Service Start Timeout ) 等 待 服务 状态 变 为 
STATUS RUNNING. 车 规定 时 间 内 服务 状态 未 改变 , SCM 就 会 引发 ERROR_SERVICE_ 
REQUEST_TIMEOUT 错 误 ， 然 后 终止 相关 服务 进程 。 


也 就 是 说 ， 将 服务 进程 附加 到 调试 器 后 的 30 秒 内 ， 必 须 把 服务 进程 的 状态 变更 为 
STATUS RUNNING。 而 要 更 改 服务 状态 ， 必 须 调用 位 于 服务 主 函 数 的 SetServiceStatus() API。 但 
30 秒 内 完成 以 上 操作 流程 相当 困难 ， 所 以 具体 操作 前 需要 增加 服务 启动 超时 时 间 。 

(1) 安装 服务 

首先 将 示例 程序 ( DebugMel.exe ) 安装 为 Windows 服 务 ( 参考 图 54-6 )。 

















REG SZ 

To TR REG DWORD 0x00000000 (0) 
3 | æ] CurrentUser REG SZ USERNAME 
i [s REG SZ multi(O)disk(0)rdisk(O)partition(1) 
1 i ab) PreshutdownOrder REG MULTI SZ wuauserv gpsvc trustedinstaller | 
PAM BockupRestore || ab) ServiceControlManagerEx.. REG EXPAND SZ %systemroot%\system32\scext.dll | 
|| a8) SystemBootDevice REG SZ multi(O)disk(O)rdisk(O)partition(2) | 
| ab) ]SystemStartOptions REG_SZ NOEXECUTE=OPTIN 
|| 25] Wai REG_SZ 


j Class 
jJ CMF 
j. CoDeviceinstallers 
j, COM Name Arbiter 





-点 ComputerName 

È Contentindex 

Je CrashControl li 

j. CriticalDeviceDatabase <] 
; peeme— — i > 
à C ONT LOCAL.  MACHINESYSTEM CurrentControlSet Corr 




















图 54-22 Er nA 
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(2) 增加 服务 启动 超时 时 间 

运行 注册 表 编 辑 器 (regeditexe )， 创 建 ServicePipeTimeout 注 册 表 项 (DWORD 类 型 )， 如 下 
所 示 (参考 图 54-22 )。 

[HKEY LOCAL MACHINE\System\CurrentControlSet\Control] ServicesPipeTimeout 

ServicePipeTimeout 并 不 存在 默认 值 ， 所 以 需要 创建 新 值 ， 单 位 为 毫秒 (Millisecond )， 这 里 
设置 其 值 为 60 x 60 x 24 x 1000=86400000 ( 24 小 时 ),， 这 个 时 间 足 够 了 。 设置 好 后 重启 系统 ,使 之 
生效 ， 然 后 就 有 足够 时 间 调 试 了 。 

提示 一 
设置 ServicePipeTimeout 值 会 对 系统 中 的 所 有 服务 产生 影响 , 尽量 不 要 在 重要 的 电 
脑 中 设置 它 ， 建 议 各 位 在 调试 专用 电脑 中 设置 。 





(3) 修改 文件 : 设置 无 限 循环 
接 下 来 ， 开 始 向 服务 可 执行 文件 ( EXE 或 者 DLL ) 的 EP 地 址 覆 写 无 限 循 环 (Infinite Loop) 
代码 。 使 用 Stud_ PE 实用 工具 ， 查 看 DebugMel.exe 文 件 的 EP 地 址 ( RVA/RAW )， 如 图 54-23 所 示 。 
































图 54-23 ”使 用 Stud_ PE 实用 工具 查看 DebugMel.exe 的 EP 地 址 


EP 的 文件 偏 移 ( File Offset=RAW ) 为 C24。 然 后 使 用 HxD 实 用 工具 转 到 该 地 址 处 ， 如 图 5$4-24 
所 示 。 

















&) DebugMel exe 








00 01 02 03 @4 95 @6 07 08 09 OA ƏB ƏC OD OE OF 
50 51 E8 C1 28 00 00 59 59 C3 B8B 65 EB 8B 45 DC 
89 45 EO 83 7D E4 060 75 86 50 EB 49 26 00 00 EB 
69 26 80 60 C7 45 FC FE FF FF FF 8B 45 EO E8 A2 
21 eo eo c3 EE 2F ee eo E9 95 FE FF FF 8B FF 
55 8B EC 81 EC 28 03 68 00 A3 D3 CE 40 00 89 OD 
D4 CE 40 00 89 15 DO CE 40 60 89 1D CC CE 40 00 
89 35 C8 CE 40 00 89 3D C4 CE 40 00 66 8C 15 FO 


Offset(h) 





^ 


PQ&Á(..YYA«ee«EU. [J 
ktàf]à.u.PBI&..é 
i&..CEüpyyy«Eàed 
1. AER. .éebyycy 
Uci.i(...£01g.&. 
ótg.&.oig.s.11g. 
tsSEIg.k-ATg.fG.8 ~ 




















Block: C24-C25 Length: 2 


disini: ls 


图 54-24 HxD: 原 EP 代 码 


ANUS DU MM 
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原 EP 代 码 的 前 2 个 字 节 为 0xEB、0xC0 (希望 各 位 记 住 )。 在 调试 器 中 查看 该 位 置 ， 如 图 $4-25 


所 示 。 





| 00401824 
|] 69581829 





E9 95FEFFFF 


|8848182E| > 8BFF MOU EDI,EDI 
|88591838|r. 55 PUSH EBP 
| 88581831 [ 8BEC MOU EBP ,ESP 


图 $4-25 OllyDbg: 原 EP 代 码 


0xEB、0xC0 是 CALL 指 令 的 一 部 分 ， 把 它们 分 别 修改 为 0xEB、0xFE， 如 图 54-26 所 示 。 


J 


JMP 804016C3 








3 GMiekQi d 9i e s quor G0 TIAE 95 BA Mec OD aE OP 
50 51 E8 C1 28 00 00 59 59 C3 8B 65 EB 8B 45 DC 

89 45 EO 83 7D E4 00 75 06 50 EB 49 26 00 00 E8 

69 26 00 00 C7 45 FC FE FF FF FF 8B 45 EO E8 A2 

ee ee E9 95 FE FF FF 8B FF 

3 @@ @@ A3 D8 CE 40 90 89 ƏD 

CE 40 90 89 1D CC CE 48 @@ 

3D C4 CE 40 00 66 8C 15 FØ 


PQaÁ( . . YYÀ«ee«EÜ 
&Eafjà.u.Pel&..e 
i&..CEüpyyy«Eaed 
!.. Rep. -éebyycy 
Ud. i(...£01g.&. 
01g.i.big.. iig. 
tsEig.t-Alg.fc.8 














— sss qn 


É854-26 HxD: 修改 后 的 EP 代码 
使 用 OllyDbg 调 试 右 查看 修改 后 的 EP 代码 ， 如 图 54-27 所 示 。 


< 22 Zx sss ee E NET I uo ccc EON 






|| 09581826 | 
|| 08501828 
80491829 | .~ E9 9SFEFFFF 
|995e182E | > 8BFF 


图 54-27 OllyDbg: 修改 后 的 EP 代码 
0xEB、0xFE 即 是 无 限 循环 指令 ( 跳 转 到 401824 地 址 处 )。 


提示 













JMP 884816C3 
[MOU EDI ,EDI 


虽然 可 以 背诵 OxEB. OxFE, 但 尽量 理解 其 原理 会 比较 好 。 从 IA-32 用 户 手册 上 可 
知 ， 操 作 码 0xEB 是 近 距 离 (Short Distance) JMP 指令 ， 带 有 1 个 字 节 大 小 的 值 ， 该 值 


为 Signed Value ( 有 符号 数 )， 指 的 是 “与 Next EIP 的 相对 距离 "， 计 算 时 有 如 下 公式 
Jump Address=Next EIP(401826)+0xFE(—2)=401824 
许多 JMP/CALL 指令 都 使 用 上 面 这样 的 “相对 距离 "， 请 各 位 熟 记 上 述 计算 方法 。 


关于 IA-32 指令 的 详细 说 明 请 参考 第 49 章 。 

(4) 启动 服务 

启动 SveTest 服 务 ( 参考 图 $4-10 )。 使 用 Process Explorer 查 看 SvcTest 服 务 进程 ( DebugMel.exe ), 
可 以 发 现 服务 进程 陷入 无 限 循 环 ，CPU 占 有 率 升 至 近 100%， 如 图 54-28 所 示 。 
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d. msdtc.exe 1896 Microsoft Distributed 
[e] vVSSVC,exe 2016 MicrosoftR) 
= taskhost, exe |45p4 . Windows: 20 
s"; SearchIndexer,exe 1700 Microsoft Windows 5 
EE sppsvc.exe 2220 Microsoft > 









E jsvchostexe 2255 1.29 Host Process for Wir 








Ja Isass,exe Local Security Autho 
J ilsm,exe 476 
csrss,exe 388 


fü winlogon, exe 428 


Client Server Runtime 








图 54-28 ”DebugMel.exe 服 务 进程 陷入 无 限 循环 


提示 
若 系 统 为 Windows 7， 启 动 服务 进程 时 会 弹出 警告 信息 框 ， 如 图 54-29 所 示 。 








Windows 无 法 启动 SveTest 眼 务 (位 于 本 地 计算 机 上 )。 





M 











| 
| MEM EDD UA 





图 $4-29 ”服务 启动 错误 


错误 1503 就 是 ERROR SERVICE REQUEST TIMEOUT 错误 ， 因 为 终止 的 不 是 
服务 进程 ， 所 以 可 以 继续 。 

e 若 向 注册 表 添 加 ServicesTimeOut 之 前 出 现 上 述 错 误 ， 服务 进程 就 会 终止 执行 。 

e £ Windows XP 系统 下 向 注册 表 添 加 ServicesTimeOnut 后 ,不 会 出 现 上 述 信 息 框 。 





(5) 附加 至 调试 器 
在 OllyDbg 调 试 器 的 菜单 栏 中 依次 选择 File-Attach 菜 单 ， 弹 出 如 图 54-30 所 示 的 Attach 对 话 框 。 





:indows*ssustemS2z*dllhost.eue 
E | DUM Notification Win C: sllindowsssystemsSesDum. eue 

4| Esp lorer| Et :MlindowssERplorer.EXE 
4 rsBJindousssustem32s[sass.ene 
:\Windows\system32\lsm. exe 
iindows*ssyustemS2*mmo.ewue 
iWindows*Sustema32*msdtc.ese x 


Cancel | | 


有 




















É854-30 OllyDbg: Select process to attach 对 话 框 


选择 DebugMel.exe 进 程 ， 将 其 附加 到 调试 器 后 ,调试 器 在 系统 库 区 域 ( ntdll.DbgBreakPoint ) 
暂停 ， 如 图 54-31 所 示 。 
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图 54-31 执行 “附加 ”操作 后 在 系统 库 暂 停 


(6) 修改 进程 : 删除 无 限 循环 

使 用 CtrltG 命 令 转 到 DebugMel.exe 进 程 的 EP 地 址 处 ( VA: 401824) ( 参考 图 54-23、 图 54-25、 
图 54-27 )。 

先 按 F2 键 在 EP 地 址 处 设置 断 点 , 然后 按 F9 键 运行 , 如 图 54-32 所 示 , 控制 在 EP 地 址 处 停 下 来 。 
在 401824 地 址 处 使 用 OllyDbg 的 编辑 功能 ( Ctri+E ), 将 指令 恢复 为 原来 的 指令 代码 ( 0xE8 、0xC0 ), 
如 图 54-33 所 示 。 











|| 88581826 DB 2F 
|| 88561827 88 iDB 88 
| 880181828 98 (DB 88 


K54-32 ”控制 停 在 EP 处 
从 图 54-34 中 可 以 看 到 ， 指 令 代码 已 经 被 修改 为 原来 的 指令 代码 。 













ASCII 


E L 
UNICODE Je il 

















|| 08581829 JMP 8850163 
| 804808182E MOU EDI,EDI 


图 54-34 ”EP 代码 恢复 为 原来 的 指令 代码 
接 下 来 只 要 调试 目标 代码 就 可 以 了 。 








提示 
图 54-34 的 状态 并 非 服 务 正 常 运行 的 状态 ， 需 要 在 服务 主 函 数 中 调用 
SetServiceStatus() API 将 服务 状态 更 改 为 SERVICE RUNNING 状态 才 行 。 





在 图 54-35 中 继续 调试 ， 调 用 完 401357 地 址 处 的 SetServiceStatus() API 后 ，SvcTest 服 务 进程 
( DebugMel.exe ) 的 状态 就 变 为 “启动 ”状态 ， 如 图 $4-36 所 示 。 


545 小结 615 








-> pointer of SERUICE STRTUS struct 
-> Service Status Handle 
-> SERUICE STRTUS.duCurrentState = 4[! 






DS: [8049998C1=?5EFB78C (RDURPIS2.SetServiceStatus) 





ecSFF7S| 761F75RB| RETURN 





ET FF ae ae en Y - 
BH4DC0B4| pp ac GG GO 00 pa O0 BA dwCurrentState BBeaFF?C| aaacanaol 


图 54-35 ”调用 SetServiceStatus() API 

















| c 
A BEM WAH 
4 = E 






| A SNMP Trap Erthesina SA UE... 手动 
| C Software Protect. BF Windows 和 Windo... ExDERER) IER 
;SoftwareService Lenovo Software Service BET SAGRE ”本 地 系统 
; SPP Notification .， 捍 供 软件 手 权 激活 3 天 知 手动 本 地 服务 
HENTER SSDP 协议 .… 
维护 和 提高 一 段 时 关内 的 .… 








a 













System Event N.. 监视 系统 事件 并 通知 订户 ,.。 BED Ex xm 
i Tablet PC Input .. 启用 Tablet PC REE.. 手动 本地 系统 
i X TaskScheduler ”使 用 户 可 以 在 此 计算 杭 上 .… 


UHR ENIM 
























图 54-36 ”SvcTest 服 务 启动 


54.5 小结 

本 章 讲解 了 服务 进程 的 工作 原理 及 调试 方法 。 虽然 没有 什么 特别 难 的 内 容 , 但 如 果 不 理解 服 
务工 作 原 理 , 就 无 法 准确 调试 服务 主 函 数 。 因 此 , 不 要 只 是 背 下 服务 进程 的 调试 技术 ， 而 要 把 学 
习 重 点 放 在 理解 其 工作 原理 上 。 


第 55 章 ”调试 练习 2: 目 我 创建 


有 些 应 用 程序 在 运行 过 程 中 可 以 将 自身 创建 为 子 进程 运行 ， 这 种 方式 称 为 自我 创建 〈 Self 
Creation )。 相同 的 可 执行 文件 在 以 父 进程 运行 和 以 子 进 程 运行 时 分 别 表现 出 不 同 的 行为 特征 。 本 
章 将 学 习 这 一 方式 的 工作 原理 及 调试 方法 


55.1 自我 创建 


自我 创建 是 指 进程 将 自身 以 子 进程 形式 运行 ， 如 图 55-1 所 示 。 





图 55-1 ”自我 创建 


程序 以 父 进程 形式 运行 和 以 子 进程 形式 运行 分 别 有 不 同 的 行为 动作 时 ， 自我 创建 技术 才 有 
实际 意义 。 也 就 是 说 ， 借 助 该 技术 可 使 同一 可 执行 文件 存在 2 种 执行 路 径 。 下 面 分 析 具 体 示例 程 
序 ， 帮 助 各 位 进一步 理解 自我 创建 技术 的 工作 原理 

如 图 55-2 所 示 ， 父 进程 用 来 在 控制 台 (Console ) 窗口 中 输出 字符 串 “This is a parent 
process!" , 并 运行 子 进程 ,而 子 进程 则 不 同 , 在 消息 窗口 中 输出 字符 串 “This is a child process!” 
就 像 这 样 ， 我 们 借助 自我 创建 技术 可 以 在 同一 可 执行 文件 中 执行 两 种 形式 的 行为 动作 。 虽 然 有 
多 种 编程 方法 可 以 帮助 我 们 实现 这 一 目的 , 但 为 了 增加 调试 难度 ， 这 里 只 介绍 动态 修改 子 进程 
EP 地 址 的 方法 。 





2 Cìwork\DebugMe2.exe 





图 $5-2 ”自我 创建 运行 结果 
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还 有 更 简单 的 方法 是 : 在 程序 内 部 创建 不 同 的 运行 分 支 ， 用 来 接收 不 同 的 运行 参 
数 ， 由 此 在 同一 文件 中 提供 多 种 执行 路 径 。 








int main(int argc, char *argv[]) 


if( !strcmp(argv[1], "typel") ) 
OperateTypel(); 


else if( !strcmp(argv[1], "type2") ) 
OperateType2(); 


else if( !strcmp(argv[1], "type3") ) 
OperateType3(); 


else if( !strcmp(argv[1], "type4") ) 
OperateType4(); 


return 0; 


但 是 ,这 里 我 们 不 采用 这 种 常规 的 编程 方法 ， 而 是 采用 变形 的 方法 以 增加 调试 难度 ， 帮 助 各 
位 学 习 更 多 知识 。 


55.2 工作 原理 
下 面 介 绍 自我 创建 技术 的 工作 原理 ， 逐 一 讲解 图 55-3 中 出 现 的 各 项 。 









父 进 程 





Execute 
main() queis wn 
i ( 挂 起 ) 1 vw | 
function 挂 起 模式 i Tui | 
buna: n 
更 改 EIP =a 


(to ChildProc() function) 














恢复 主线 程 
L Resume Main Thread 
Execute 
ChildProc() 
function 


图 55-3 ”自我 创建 工作 原理 


55.2.1 创建 子 进程 〈 挂 起 模式 ) 


父 进程 运行 时 ，main() 函 数 就 会 被 调用 执行 ， 以 挂 起 模式 创建 子 进程 。 子 进程 以 挂 起 模式 创 
建 后 ， 导 出 DLL 被 加 载 进来 ,但 进程 的 主线 程 处 于 暂停 状态 ( 也 称 为 “线程 休眠 ”)。 主 线程 是 创 
建 进程 时 默认 创建 的 , 其 最 主要 的 职能 是 运行 EP 代码 。 所 以 对 处 于 挂 起 模式 的 进程 来 说 , 其 主线 
程 也 处 于 暂停 状态 ，EP 代 码 未 运行 ， 且 不 会 执行 任何 动作 。 
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55.2.2 更改 EIP 


先 思考 这 样 一 个 问题 : 外 部 进程 的 线程 要 执行 的 代码 地 址 可 以 随意 修改 吗 ? 什么 时 候 需 要 这 
样 做 呢 ? 就 是 处 于 调试 状态 时 , 在 调试 器 -被 调试 者 关系 中 需要 这 样 做 。 调 试 器 通过 调试 API 可 以 
随意 修改 被 调试 进程 的 代码 运行 位 置 。 

提示 

关于 调试 器 的 工作 原理 请 参考 第 30 章 。 





父 进程 也 采用 类 似 方法 随意 修改 子 进程 的 代码 运行 地 址 。 当 前 子 进 程 的 主线 程 处 于 暂停 状 
态 ， 先 获取 其 上 下 文 ， 然 后 将 EIP 成 员 修 改 为 指定 地 址 值 即 可 ( 具体 实现 方法 请 参考 示例 源码 
说 明 )。 


55.2.3 ”恢复 主线 程 


最 后 ,恢复 运行 ( 处 于 暂停 状态 的 ) 子 进程 的 主线 程 ( 也 称 为 “线程 唤醒 ” )。 接 下 来 ,主线 
程 就 会 运行 (我们 已 经 修改 过 的 ) 新 地 址 处 的 代码 。 

o^ ————— n. 
对 多 种 可 执行 文件 进行 北向 分 析 的 过 程 中 ， 有 时 会 遇 到 有 类 似 行为 的 文件 ， 它 们 
一 般 与 反 调 试 技术 并 用 ， 以 增加 调试 难度 ， 防 止 程序 被 调试 。 





55.3 ”示例 程序 源 代码 


代码 55-1 DebugMe2.cpp 源 代码 — 
#include windows.h 

#include tchar.h 

#include stdio.h 





void ChildProc() 
1 
MessageBox(NULL, L"This is a child process!", L"DebugMe2", MB OK); 


ExitProcess(0); 


void tmain(int argc, TCHAR *argv[]) 


TCHAR szPath[MAX PATH] = 10,3; 
STARTUPINFO si = (sizeof(STARTUPINFO),); 
PROCESS INFORMATION pi = 10,); 

CONTEXT ctx = (0,7); 


 tprintf(L"This is a parent process!Nn"); 
GetModuleFileName(NULL, szPath, sizeof(TCHAR) * MAX PATH); 


// 创建 子 进程 
CreateProcess(szPath, NULL, NULL, NULL, FALSE, 
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CREATE SUSPENDED, // 挂 起 模式 
NULL, NULL, &si, &pi); 


ctx.ContextFlags = CONTEXT FULL; 
GetThreadContext(pi.hThread, &ctx); 


// X&EIP 
ctx.Eip = (DWORD)ChildProc; 


SetThreadContext(pi.hThread, &ctx); 


// Resume Main Thread 
ResumeThread (pi.hThread); 


WaitForSingleObject(pi.hProcess, INFINITE); 


CloseHandle(pi.hProcess); 
CloseHandle(pi.hThread); 


~ 


正常 运行 示例 程序 后 , main0 函 数 会 被 调用 执行 , 借助 CreateProcess(.…,CREATE SUSPEND,...) 
API 采 用 挂 起 模式 创建 自身 。 新 创建 的 子 进程 会 加 载 所 有 导出 DLL 文件 ， 但 其 主线 程 将 处 于 暂停 
状态 。 返 回 CreateProcess() API 后 ， 与 新 进程 相关 的 信息 即 被 放 人 最 后 一 个 参数 pi， 变 量 pi 是 
PROCESS INFORMATION 结 构 体 变量 。 


PROCESS _ INFORMATION 结 构 体 定义 


typedef struct PROCESS INFORMATION í 
HANDLE hProcess; 
HANDLE hThread; 
DWORD dwProcessId; 
DWORD  dwThreadId; 
) PROCESS INFORMATION, *LPPROCESS INFORMATION; 出 处 ; MSDN 


PROCESS_INFORMATION 结 构 体 的 hThread 成 员 就 是 子 进程 的 主线 程 句 柄 , 通过 该 句柄 即 可 
随心 所 欲 地 控制 相应 线程 。 以 hThread 作 为 参数 调用 GetThreadContextO0 API， 即 可 获得 线程 的 
CONTEXT 结 构 体 ， 线 程 的 所 有 信息 都 保存 在 该 CONTEXT 结 构 体 中 。 


IA-32 CONTEXT 结 构 体 定义 


// CONTEXT IA32 
struct CONTEXT 


{ 
DWORD ContextFlags; 


DWORD Dr0; // 04h 
DWORD Dri; // 08h 
DWORD Dr2; // OCh 
DWORD Dr3; // 10h 
DWORD Dr6; // 14h 
DWORD Dr7; // 18h 


FLOATING SAVE AREA FloatSave; 


DWORD SegGs; // 88h 
DWORD SegFs; // 90h 
DWORD SegEs; // 94h 
DWORD SegDs; // 98h 


DWORD Edi; // 9Ch 
DWORD Esi; // A0h 
DWORD Ebx; // A4h 
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DWORD Edx; // A8h 
DWORD Ecx; // ACh 
DWORD Eax; // BOh 


DWORD Ebp; // B4h 
DWORD Eip; // B8h 
DWORD SegCs; // BCh ( 须 删 除 ) 
DWORD EFlags; // COh 
DWORD Esp; // C4h 
DWORD SegSs; // C8h 


BYTE ExtendedRegisters[MAXIMUM SUPPORTED EXTENSION]; // 5123 $ 
J; 出 处 ，MS SDK 的 winntih 


EIP 为 CONTEXT 结 构 体 的 Eip 成 员 ( 指 EIP 寄 存 器 )， 将 该 值 修改 为 ChildProc() 函 数 的 地 址 ， 
如 下 所 示 : 
ctx.Eip = (DWORD)ChildProc; 

然后 调用 SetThreadContext() API， 将 修改 后 的 CONTEXT 结 构 体 设置 给 子 进程 的 主线 程 。 最 
后 ,调用 ResumeThread() API 唤 醒 子 进程 的 主线 程 ， 执 行 更 改 后 的 EIP 指 示 的 指令 (= 要 执行 的 代 
码 地 址 =ChildProc() )。 请 注意 ， 更 改线 程 上 下 文 是 以 上 实现 方法 的 核心 。 


55.4 调试 练习 


55.4.1 需要 考虑 的 事项 


调试 应 用 了 自我 创建 技术 的 程序 时 , 由 于 子 进 程 是 调试 中 新 创建 的 , 所 以 必须 考虑 如 何 从 启 
动 时 开始 调试 。 调试 时 , 首先 要 调试 父 进程 ,查看 子 进程 的 EP 被 修改 为 哪 一 地 址 , 然后 利用 第 54 
章 中 介绍 的 方法 ( 在 EP 地 址 处 设置 无 限 循环 )， 就 能 轻松 解决 这 一 问题 。 但 是 这 里 我 们 将 采用 新 
的 调试 方法 一 一 JIT (Just-In-Time ) 调试 法 (从 学 习 代 码 逆向 分 析 技 术 的 角度 来 说 ， 尽 量 多 接触 
各 种 调试 方法 是 非常 有 好 处 的 )。 

Suspended Hiir n= a a 

如 图 55-4 所 示 ， 示 例 程 序 中 采用 的 方式 是 : 先 以 挂 起 模式 创建 出 子 进程 ， 然 后 修 
改 其 主线 程 的 EIP。 那 么 ,调试 父 进 程 的 过 程 中 ,不 可 以 在 子 进程 生成 瞬间 即 运行 调 
试 器 进行 附加 操作 吗 ? 

















CPU Usage: 0.00% Commit Charge: 28. 
em isses tcm 


图 55-4 ”处 于 挂 起 模式 的 子 进 程 
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但 令 人 遗憾 的 是 ,调试 器 无 法 附加 Suspended 进程 (被 挂 起 的 进程 ) ( 若 调试 器 可 
以 直接 附加 处 于 挂 起 模式 的 子 进程 ， 则 可 以 在 调试 器 中 直接 修改 EIP 来 实现 调试 )。 

图 55-5 € OllyDbg 调试 器 可 附加 的 目标 进程 列表 ， 子 进程 (PID 2180(0x884) ) 根 
本 不 在 其 中 。 只 有 主线 程 为 唤醒 状态 ， 它 才 会 出 现 。 


T| conhost dousvsystemS2sconhé J 
Aa5886153| csrss C: llindows*systemS2*osrs: 
ngon Cì e 
43 d ^wor : ez, NE. 


4 e| tw i te. er š ied 
6596694RC Cs Sindovs ty stenaa Due. H 
Baaaasp4 C:\Windows\Explorer.EXE 

| | 585581BS C:\Windows\system32\lsas: 3 

||| aaGee1EB C:\Windows\system32\lsm.e v | | 





图 55-5 可 附加 的 目标 进程 列表 


55.4.2 JIT 调试 


JIT 调 试 是 指 ， 运 行 中 的 进程 发 生 异 常 时 ，OS 会 自动 运行 指定 调试 器 附加 发 生 异 常 的 进程 。 
由 于 可 以 从 异常 发 生 的 位 置 开 始 调试 ， 所 以 采用 这 种 方式 很 容易 把 握 出 现 异 常 的 原因 。 

jE——_—— YÍ 
JIT 调试 主要 用 于 应 用 程序 的 开发 过 程 ， 将 Visual C++ 设置 为 JIT 调试 器 后 ， 发 生 
异常 时 可 以 直接 查看 发 生 异 常 的 源 代 码 〈 拥 有 源 代 码 时 )。 


设置 JIT 调 试 器 


OllyDbg 调 试 器 有 个 功能 可 以 非常 方便 地 将 其 本 身 设 置 为 JIT 调 试 器 ， 在 菜单 栏 中 依次 选择 
Options-Just-in-time debugging， 如 图 $5-6 所 示 。 


Appearance 


' Debugging options Alt«O 
Just-in-time debugging 
Add to Explorer 





图 55-6  Just-in-time debugging 菜 单 


后 弹出 图 55-7 所 示 的 对 话 框 ， 单 击 “Make OllyDbg just-in-time debugger” 按 钮 。 
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Current settings: 


-JIT debugger is is 
| |-Debucos asks for confirmation 








Confirm before attaching 


Attach without confirmation | 
Done | 











图 55-7  Just-in-time debuggingXT ifl 


至 此 ，OllyDbg 被 成 功 注册 为 JIT 调 试 器 。 从 下 面 注册 表 的 键 值 可 以 查看 设置 在 当前 系统 中 的 
JITJA TA G8 o 
HKEY LOCAL MACHINENSOFTWAREMMicrosoftNWindows NTXCurrentVersionN AeDebug 


运行 注册 表 编 辑 器 ( RegEdit.exe )， 查 看 上 述 注 册 表 键 值 ， 如 图 55-8 所 示 。 


(gp rsen 

























SEE) BSE EEV d WR H 
$ Windows lessaging Subsystem ^ii 名 称 类 型 数据 
4 i Windows NT BEI 1) REG SZ RERRE 
4 jj CurrentVersion Á 


b Accessibility 

; AdaptiveDisplayBrightness 

i AeDebug 

i APITracing 

4j AppCompatflags 

i. ASR 

ü rupa ^ 
g 






REG_DWORD 
















FENH KEV. LOCAL | MACI HI INEVSO! FTWAREWI icrosoft Wil ind: ows NT\CurrentVersion\AeDebug 





图 55-8 ”OllyDbg 被 注册 为 IT 调 试 器 
在 AeDebug 注 册 表 键 的 Debugger 项 中 ， 可 以 看 到 被 注册 为 JIT 调 试 器 的 OllyDbg 的 安装 路 径 。 


55.4.3 DebugMe2.exe 


本 小 节 示 例 程 序 的 调试 目标 是 , 帮助 各 位 学 习 从 子 进程 的 (新 的 ) EP 代码 开始 调试 。 应 用 了 
自我 创建 技术 的 程序 中 , 程序 自身 以 子 进程 的 形式 运行 , 并 且 起 始 代 码 (EP 代码 ) 的 位 置 发 生 了 
改变 。 因 此 ， 调 试 时 需要 先 调试 父 进程 来 获取 子 进程 的 起 始 代码 地 址 ， 再 采用 JIT 调 试 法 调试 子 
进程 。 


示例 程序 在 Windows XP, 7 (3242) 系统 中 运行 正常 。 





调试 父 进程 

在 OllyDbg 调 试 器 中 打开 DebugMe2.exe， 调 试 运行 到 main0 函 数 处 ， 如 图 $$-9 所 示 。 

使 用 SepOver(F8) 命 令 继续 跟踪 ， 遇 到 调用 CreateProcess0 API 的 代码 ( 位 于 401102 地 址 处 )， 
如 图 55-10 所 示 。 
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Style = MB OKIMB RPPLMODRL 
Title = "Debugħe2” 
Text = "This is a child process*” 












PUSH 8 hOwner = NULL 
EALE DWORD PTR DS:[«&USER32. Hessag| Less sseBoxli 
PUSH & Es itCode = 8 
CRLL DWORD PTR DS:[48KERNELS2. Ex itl LE it Process 


MOU EBP,ESP 
SUB ESP,S2C 
MOU EAX, DWORD PTR DS: 40C0041 
XOR EAX, EBP 

MOU DWORD PTR SS:CEBP-41,EnX 






















PUSH 48 


LEA EDX,DMORD PTR SS: LEBP-5281 






















pProceseInfo = BOIZFRES 


pS&tartupInfo = 0012FR14 
CurrentDir = NULL 

pEnvironment = NULL 
CreationFlags = CRERTE SUSPENDED 
InheritHandles - FRLSE 
pThreadSecurity = NULL 
pProcessSecurity = NULL 
CommandLine = NULL 


Modu leF ileName = "ci\\work^"Debughe 







. FF15 18904009 |CALL DWORD PTR DS:L<&KERNEL32.G [GetLastError 


图 55-10 ”调用 CreateProcess() 的 代码 


调用 执行 完 401102 地 址 处 的 CreateProcessW() API 后 ， 子 进程 即 以 挂 起 模式 创建 ( 参考 图 
55-4 )。 继 续 调试 会 遇 到 调用 GetThreadContext0 〇 /SetThreadContext() API 的 代码 ， 如 图 55-11 所 示 。 
这 部 分 用 来 获取 子 进程 的 主线 程 的 CONTEXT 结 构 体 ， 并 将 CONTEXT.Eip 的 值 修 改 为 ChildProc() 
函数 地 址 。 

需要 特别 关注 图 55-11 中 401186 地 址 处 的 MOV DWORD PTR SS:[EBP-420],00401000 指 令 , 其 
中 [EBP-420] 地 址 即 为 CONTEXT.Eip， 而 401000 是 ChildProc0 函 数 的 起 始 地 址 。 

提示 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
查看 GetThreadContext()/SetThreadContext() API 的 第 二 个 参数 , 即 可 获取 CONTEXT 
结构 体 的 起 始 地 址 。 如 图 55-11 所 示 ，401184 地 址 处 的 PUSH ECX 指令 中 ，ECX 寄存 
器 的 值 即 是 CONTEXT 结构 体 的 起 始 地 址 ( 12FA68 )。 





然后 调用 ResumeThread(pi.hThread) API 启 动 子 进程 的 主线 程 ， 再 调用 WaitForSingleObject 
(pi.hProcess,INFINITE) API 进 入 等 待 状态 ， 直 到 子 进程 终止 运行 (请 各 位 亲自 在 调试 器 中 确认 )。 
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调试 子 进程 


H 


FF15 8498 CALE DWORD PTR DS:L4&KERNELS2. Get Th 


FF15 18904880 
68 84RR4969 |PUSH GB4O0RRS4 
ES 80010009 |CALL GO4012E4 
83C4 as ADD ESP,S 


EE 
8B4D FC MOU ECX,DUORD PTR SS:tEBP-43 


ES BAagagas |CALL 00409122E 


8B9S 1CFBFFFF| MOU | 
8D8D 28FBFFFF 
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TEST ERX,ERX 
JHZ SHORT 86481178 


POP ESI 


WOR ECX,EBP 
















= 


图 55-11 修改 CONEXT.Eip 值 


3 DWORD PTR DS: [<&KERNEL32。 SetThr(CSetThreadContext 


LGetThreadContest 


CRLL DWORD PTR DS:I«&KERNEL32. GetLas| [Ger L astError 
ASCII "GetThreadContest() failed? 


pContest = 0012FR68 
hThread = 866889883C (window) 






首先 ， 使 用 Stud_PE 实 用 程序 将 VA 形式 的 401000 地 址 变换 为 文件 偏 移 形式 ， 得 到 400， 如 图 


55-12 所 示 。 





图 55-12 Stud PE 中 的 RVA 与 RAW 转换 功能 


然后 借助 HxD 实 用 程序 将 文件 偏 移 为 400 处 的 1 个 字 节 修改 为 0xCC ( 原来 的 值 为 0x6A ), 然后 
再 将 修改 后 的 文件 以 DebugMe2_CC.exe 名 保存 ， 如 图 55-13 所 示 。 





N A Gaar ar OA ENTA AR E O ESE 


00 00 0G 00 GG @@ GO O0 O0 O0 OO GG GƏ OO OO 60 


ee o0 00 GO OG OO OO OO OO OO OO OO OO OO OO O0 
90 ee oo O0 OO OO OO OO OO OO OO OO OO OO OO OO 
00 00 GG O0 GG GO GG GG OO OO GO GG OO OO OO OO 
68 CO A9 40 00 68 D4 A9 40 00 6A 00 FF 15 

91 40 090 6A 90 FF 15 00 90 40 @Ə9 CC CC CC CC 
55 8B EC 81 EC 2C 05 00 00 A1 04 Ce 40 00 33 C5 
89 45 FC 56 68 06 02 00 00 33 F6 BD 8D F6 FD FF 
FF 33 Ce 56 51 66 B9 85 F4 FD FF FF E8 4F 4B 00 
88 6A 40 BD 95 D8 FA FF FF 56 52 C7 85 D4 FA FF 
FF 44 00 00 00 E8 36 48 00 O0 33 CO 68 C8 02 00 











i-hÀeg.hóeg. j. y. 
.*8.3.y-..Q.1iii 
Uci.i,...;.À8.3À 
&EüVh....36..0yy 
y3ÀvgRi óyyyeok. 
- 38. *@úyyvRÇ..0úy 
yD...&6K..3ÀhE.. 




















.* Modified * 


F855-13 ”借助 HxD 修 改 文件 偏 移 为 400 处 的 值 


0xCC 是 长 度 为 1 个 字 节 的 IA-32 指 令 ， 对 应 于 INT3 ( 断 点 ) 指 
代码 被 执行 时 ， 就 会 触发 EXCEPTION BREAK POINT 异常 。 TX, 运行 DebugMe2_CC.exe 程 


序 ， 弹 出 异常 对 话 框 ， 如 图 55-14 所 示 。 


。 文 件 偏 移 0x400 处 的 0xCC 


qim e=. 





| 
| 
| 
| 
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Ë DebugMe2 CC.exe TEN 








DebugMe2 CC.exe 已 停止 工作 


出现 了 一 个 问题 ， 导 致 程序 停止 正常 工作 。 如 时 有 可 用 的 解决 
方案 Windows 将 关闭 程序 并 通知 您 














图 55-14 ”发 生 异 常 时 弹出 的 对 话 框 


由 于 JIT 调 试 右 已 被 注册 到 当前 系统 ， 所 以 异常 对 话 框 中 显示 “调试 程序 ”按钮 ， 单 击 该 


按钮 。 
提示 


不 同 OS 版 本 显示 的 异常 对 话 框 是 不 同 的 。 但 它们 都 提供 了 调试 选择 按钮 ,选择 它 
就 可 以 了 (BE 55-14 € Windows 7 (32 位 ) 环境 下 显示 的 对 话 框 )。 





因为 OllyDbg 调 试 器 已 经 被 注册 为 JIT 调 试 器 ， 所 以 它 会 被 系统 自动 调用 运行 ,并 将 其 附加 到 
DebugMe2_CC.exe 进 程 。 此 时 在 OllyDbg 调 试 器 中 即 可 看 到 发 生 异 常 的 代码 ， 如 图 55-15 所 示 。 









0043910816. 














TEST EAX, 04530046 
R9 40006A0A TEST ERX,&R0040 
FF15 10914000 |CALL DWORD PTR DS:[<&USER32.MessageBonll>1 
6A ea PUSH 6 

FF15 00904000 |CALL DWORD PTR DS:[<&KERNEL32. En itProcess?1 


图 55-15 W84 0xCCHChildProc) K% 






R9 40006804 







接 下 来 ， 将 401000 地 址 处 的 0xCC 代 码 恢 复 为 原 代 码 ( 0x6A ) ( 快捷 键 CtrlHE )， 如 图 55-16 


所 示 。 










a Ma oe 
UNICODE | 


HEX «01 p 


[ Keep size 





[ ok ] Cancel | 
图 5$5-16 ”修改 为 原 代 码 ( 0x6A ) 





然后 在 正常 代码 中 调试 就 可 以 了 ， 如 图 55-17 所 示 。 










|| aca 1iceE 


|| 88481216 








68 COA94000 PUSH 884eonsca 
68 D4A94000 PUSH 8848R9D4 
6A 88 PUSH 8 

FF1S 10914000 |CALL DWORD PTR DS: [<&USER32.MessageBoxW>] 
6A ea PUSH & 

FF15 00904000 |CALL DWORD PTR DS:[<&KERNEL32. En itProcess?1 












图 55-17 原 ChildProc0 函 数 
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本 章 先 介绍 了 自我 创建 技术 , 借助 该 技术 ,进程 自身 能 以 子 进 程 形式 运行 ,并 可 以 修改 起 始 
代码 的 地 址 。 然 后 讲解 了 通过 JIT 调 试 器 调试 这 类 进程 的 方法 ,采用 的 方法 与 上 一 章 中 介绍 过 的 
“设置 无 限 循环 ”的 方法 非常 类 似 。 该 方法 相当 有 用 ， 对 付 一 些 难 以 调试 的 进程 时 可 以 尝试 。 

提示 

像 示 例 程 序 这 种 可 执行 代码 与 行为 动作 比较 简单 、 纯 粹 的 程序 ， 有 许多 方法 可 以 

实现 对 ChildProcO 函 数 的 调试 (如 将 文件 的 EP 修改 为 ChildProc() 起 始 地 址 ， 或 在 

OllyDbg 中 直接 将 EIP 值 修改 为 ChildProc0 Aksak )， 不 必 非 得 使 用 JIT HRZ, A 

望 各 位 了 解 并 学 习 这 些 方法 、 技 术 ， 掌 握 各 种 调试 技巧 。 调 试 由 复杂 的 压缩 器 /保护 器 

处 理 过 的 程序 时 ， 掌 握 JIT 调试 与 无 限 循环 设置 等 方法 是 非常 有 必要 的 。 
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先 运行 某 个 进程 ， 然 后 将 其 虚拟 内 存 中 的 PE 映像 切换 为 男 一 个 PE 映像 ， 这 称 为 PE 映像 切换 
( PE Image Switching )。 本 章 将 学 习 该 技术 及 调试 方法 。 


56.1 PE 映像 


代码 首 向 分 析 中 有 个 常用 术语 为 “PE 映像 ”( 或 者 Process Image( 进程 映像 ) 或 Image( 映像 ) ). 
HEZ, “PE 映像 ”就 是 PE 文件 在 进程 内 存 中 的 映射 形态 ( 参考 图 56-1 )。 
< 文件 > < 进程 > 















kernel32 dll RP 


user32 dll 


| eds — | 
ooo 
E 
E | 


图 $6-1 PE 文件 与 进程 的 关系 


PE 文件 ( notepad.exe ) 以 进程 形式 运行 时 ， 其 进程 的 虚拟 内 存 如 图 $6-1 所 示 。OS 先 为 进程 开 
辟 虚 拟 内 存 空 间 ， 然 后 将 notepad.exe 文 件 映 射 到 USER 内 存 空 间 ， 并 且 notepad.exe 中 使 用 的 导出 
DLL 文件 (kernel32.dll、user32.dll、gdi32.dl! 等 ) 也 会 依次 映射 进来 。 此 时 映射 在 进程 USER 内 存 
空间 中 的 Notepad.exe 区 域 称 为 ( notepad.exe 文 件 的 ) PE 映像 。PE 文 件 与 PE 映像 形态 不 同 ， 差 异 
如 图 56-2 所 示 。 

一 般 而 言 ，PE 文 件 QDFile Alignment (文件 对 齐 ) 与 Section Alignment ( 节 区 对 齐 ) 是 不 同 的 ， 
@ 各 节 区 中 的 Raw Data Size ( 原始 数据 大 小 ) Virtual Size ( 虚拟 大 小 ) 也 是 不 同 的 ， 所 以 PE 文 
件 与 PE 映像 在 形态 上 会 有 不 同 ， 如 图 56-2 所 示 。 


提示 





前 面 的 图 与 第 13 章 中 介绍 的 图 是 一 样 的 ，PE 文件 在 进程 内 存 中 映射 的 相关 内 容 
请 参考 第 13 章 。 
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< 文件 > < 内 存 > 
文件 偏 移 地 址 
00000000 DOSI DOS 01000000 
00000040 DOS 存 根 DOS 存 根 01000040 
000000E0 010000E0 
NT 头 
000001D8 HRACE’) 01000108 
00000200 01000200 
00000228 01000228 
00000400 
01001000 
5 I C text") 
节 区 (text) 
00007C00 


00008400 





00010800 





01009000 


EE (“data”) 


0100B000 


节 区 ( .rsrc ) 


= 01014000 


图 56-2 ”PE 文件 与 PE 映像 


56.2 PE 映像 切换 


PE 映像 切换 是 种 非常 神奇 的 技术 , 应 用 时 先 以 挂 起 模式 运行 某 个 进程 ( A.exe )， 然 后 将 完全 
不 同 的 一 个 PE 文件 ( B.exe ) 的 PE 映像 映射 到 A.exe 进 程 内 存 空间 ， 并 在 A.exe 进 程 的 内 存 空间 中 


运行 。 


修改 PE 映像 后 ,进程 名 称 仍 为 原来 的 A.exe, 但 实际 映射 在 进程 内 存 中 的 PE 映像 为 B.exe， 所 
以 最 终 会 产生 与 原来 ( A.exe ) 完全 不 同 的 行为 动作 。 此 时 ，A.exe 为 “外 壳 进 程 ”， 实 际 运行 的 


B.exe 为 “内 核 进程 ”( 参考 图 $6-3 )。 








创建 A.exe 进 程 


56.3 


本 节 我 们 准备 了 几 个 简单 的 示例 程序 ( Fake.exe、Real.exe、DebugMe3.exe )， 借 此 帮助 各 位 


删除 A.exe PERRA 


加 载 B.exe PE 映像 


图 56-3 ”PE 映像 切换 示意 图 


运行 B.exe PE 映像 


示例 程序 : Fake.exe、Real.exe、DebugMe3.exe 
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一 步 了 解 PE 映 像 切换 的 工作 原理 。 


提示 
示例 程序 在 Windows XP. 7 (32 位) 中 正常 运行 。 








首先 是 fake.exe 程 序 的 运行 画面 ， 如 图 $6-4 所 示 。 








E CAwindowsYsystem3 

















图 $6-4 ”fake.exe 程 序 运行 画面 


fake.exe 是 基于 CUI 的 程序 ， 用 来 在 控制 台 窗口 输出 简单 的 字符 串 。 接 下 来 运行 real.exe 程 序 ， 
其 运行 画面 如 图 56-5 所 示 。 








This is a real process!!! 











图 $6-5 real.exe 的 运行 画面 


real.exe 是 基于 GUI 的 程序 ， 用 来 在 图 形 窗口 输出 简单 的 字符 串 。 从 上 面 运行 画面 可 以 看 到 ， 
fake.exe 与 real.exe 程 序 拥 有 不 同 的 用 户 环 境 。 接 下 来 ,我们 将 运用 PE 映像 切换 技术 ， 尝 试 以 “外 
过 进程 ”形式 运行 fake.exe, 以 “内 核 进 程 ”形式 运行 real.exe。 打开 控制 台 窗 口 , 运行 DebugMe3.exe 
程序 ， 如 图 $6-6 所 示 ( 请 务必 输入 正确 的 运行 参数 )。 

在 控制 台 和 窗口 输入 运行 命令 时 ,命令 的 第 一 个 参数 为 充当 “外 过 进程” 的 可 执行 文件 路 径 
( fake.exe )， 第 二 个 参数 为 充当 “内 核 进程 ”的 可 执行 文件 路 径 ( real.exe )。 


若 3 个 可 执行 文件 存在 于 相同 路 径 下 ， 输 入 命令 时 只 输入 程序 名 称 即 可 。 但 是 ， 
若 命令 的 第 一 个 与 第 二 个 参数 指示 的 程序 不 在 同一 路 径 下 ， 输 入 时 就 需要 输入 完整 的 
路 径 名 称 ( Full path ) 
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图 56-6 ”运行 DebugMe3.exe 


使 用 Process Explorer 查 看 fake.exe 进 程 ， 如 图 56-7 所 示 。 

从 图 中 可 以 看 到 ， 运 行 的 进程 名 称 分 明 为 fake.exe， 但 是 实际 运行 的 却 是 real.exe 进 程 。 
DebugMe3.exe 进 程 删除 了 fake.exe 的 PE 映像 (使 之 无 效 )， 将 real.exe 的 PE 映像 映射 到 fake.exe 的 进 
程 内 存 空间 并 运行 。 





E. Process Explorer - Sysinternals: www.sysinternalscom Ueonhae- FCUeonhae] -e 
xpi ysi sy pr 














Options Mies Process Find Handle Users Help. 
gi mcm Xx we 


CPU Private 8 












Hat de 


Microsoft Cospon 
Microsoft Corpa 

















图 56-7 运用 PE 映像 切换 技术 运行 fake.exe 


提示 
在 Windows XP 中 针对 系统 文件 ( notepad.exe、calc.exe 等 ) 应 用 PE 映像 切换 技术 ， 
程序 得 以 顺利 运行 。 在 Windows XP 环境 下 输入 如 下 命令 。 


例如 ， me c:\windows\system32\notepad.exe c:\windows\system32\calc.exe 

Windows 7 中 ,系统 进程 安全 得 到 加 强 ，( 向 系统 进程 应 用 时 ) PE 映像 切换 技术 无 
法 正常 工作 。 所 以 ， Windows 7 中 选择 向 普通 应 用 程序 应 用 PE 映像 切换 技术 ， 这 样 
才能 获得 预想 的 运行 结果 。 
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56.4 调试 1 
下 面 开 始 调试 DebugMe3.exe 程 序 ， 学 习 PE 映像 切换 技术 的 具体 工作 原理 。 


56.4.1 Open - 输入 运行 参数 


首先 ， 在 OllyDbg 调 试 器 的 “打开 ”对 话 框 ( File\Open ) 中 选择 DebugMe3.exe 程 序 ， 输 入 运 
行 参 数 ， 然 后 单 击 “ 打 开 ” 按 钮 ， 如 图 $6-8 所 示 。 


3& Open 32-bit executable T D s 
FABAN: |] vork +] £ aam 
zR s 修改 日 其 
DebugMe3 2012/2/8 1:02 
"fake 2012/2/8 1:02 
| real 2012/2/8 1:02 
1 


| 文件 名 oD: [Desa ] f 
|| 文件 类 型 位 ); [Executable file (*. exe) z] 取消 | f 


(m [=== — — 3 | 
































图 56-8 ”OllyDbg 的 File\Open 菜 单 


如 图 56-9 所 示 ， 显 示 出 DebugMe3.exe 的 EP 代码 。 


ntdli.KiFastSystemCal lRet 
ASCII "USAGE : 4s «fake file 


90401500 





图 56-9 DebugMe3.exe 的 EP 代 码 
这 些 代码 是 由 Visual C++ 生成 的 启动 函数 。 跟 踪 第 二 行 ( 40191A ) 中 的 JMP 地 址 , 到达 main0 
函数 ， 如 图 $6-10 所 示 。 
提示 





即使 认 不 出 图 56-9 中 的 Visual C++ Stub Code， 也 不 需要 死记 硬 背 。 大 量 调试 不 同 
文件 ， 慢 慢 就 会 熟悉 它们 ， 再 次 见 到 时 ( 即使 讨厌 也 ) 就 能 一 眼 认 出 来 。 
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. 6A 40 
. 804424 28 







. 6A 00 
. 58 

. C74424 2C 4 DWORD 
. E8 cCE450000| CALL 

°|. 33c6 

. 83C4 BC 

., 837D e8 as 
. C74424 10 
. 894424 14 











06004055F 











00401050 





SS: [EBP+C] 
MOY EDX, DWORD PTR DS:[ECX] 
. PUSH EDX 
. 68 E0B14000|PUSH 40B1E0 
. E8 BCO40000| CALL 09401500 


ntdil.KiFastSystemCallRet 
ASCII "USAGE : Xs «fake file 
00491500 







图 56-10 main) PAX 


56.4.2 ”main() 函 数 


main() 函 数 代 码 很 长 ， 分 析 时 可 以 先 快速 浏览 一 遍 ， 把 握 其 代码 的 组 织 结构 ( 骨架 )， 把 握 
main() 函 数 的 代码 流向 ( Code Flow )。 调 试 分 析 代 码 时 ， 先 把 握 整 体 代码 的 组 织 结构 ， 再 调试 分 
析 会 轻松 许多 。 

INR ———————rrIIrIr ae 
调试 分 析 某 个 程序 代码 时 ,“ 快 速 把 握 代 码 的 大 致 组 织 结构 ”是 个 非常 重要 的 环 
节 。 把 握 main0 函 数 的 代码 组 织 结构 的 过 程 中 ， 可 以 使 用 调试 器 提供 的 StepOver(F8) 
功能 逐 行 调试 代码 ， 最 终 掌 握 整 个 代码 的 组 织 结构 。 在 此 期 间 要 重点 关注 Win32 API 
的 调用 代码 ， 也 要 留心 观察 函数 的 参数 与 返回 值 。 逐 行 调试 时 若 遇 到 调用 子 函 数 的 代 
码 ， 可 以 跟踪 进入 子 函 数 ， 但 是 跟踪 仍然 要 以 API 调用 为 主 ， 查 明 API 的 调用 关系 后 
迅速 退出 ， 不 要 在 子 函 数 内 部 过 分 纠 编 ， 以 免 影响 对 代码 整体 组 织 结构 的 把 握 。 这 样 
调试 浏览 main(0) 函 数 代 码 几 次 之 后 ， 可 以 大 致 把 握 其 工作 原理 ， 并 能 明白 哪些 子 函 数 
需要 详细 分 析 。 


main() 

下 列 代 码 是 我 调试 完 main0 函 数 后 从 中 抽取 的 比较 重要 的 部 分 。 仔 细 分 析 即 可 把 握 程序 的 工 
作 原 理 。 
代码 56-1 main() 
; main() 


00401000 PUSH EBP 
00401001 MOV EBP,ESP 
00401003 AND ESP,FFFFFFF8 
00401006 SUB ESP,5C 


00401063 CALL 00401150 ; SubFunc 1() 
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00401079 PUSH EAX ; -pProcessInfo = 0012FEE8 
0040107A LEA ECX,DWORD PTR SS:[ESP+24] 


0040107E PUSH ECX ; -pStartupInfo = 0012FEF8 
0040107F PUSH 0 ; -CurrentDir = NULL 
00401081 PUSH 0 ; -pEnvironment = NULL 
00401083 PUSH 4 ; -CreationFlags = CREATE __ 
SUSPENDED 


-InheritHandles - FALSE 
-pThreadSecurity = NULL 

; -pProcessSecurity = NULL 
; -CommandLine = "fake.exe" 
; -ModuleFileName = NULL 

; CreateProcessW() 


00401085 PUSH 0 
00401087 PUSH 0 
00401089 PUSH 0 
E 
0 


0040108B PUSH 


0040108C PUSH 
0040108E CALL DWORD PTR DS:[40900C] 


c 
x 


004010B2 CALL 004011D0 SubFunc 2() 


004010D1 CALL 00401320 SubFunc 3() 


004010F0 PUSH ECX -hThread - 00000024 (window) 
004010F1 CALL DWORD PTR DS:[409038] ; ResumeThread() 


`. 


~. 


00401116 PUSH -1 -Timeout = INFINITE 
00401118 PUSH EDX ; -hObject = 00000028 (window) 
00401119 CALL DWORD PTR DS:[409010] ; WaitForSingleObject() 


00401149 MOV ESP,EBP 
0040114B POP EBP 
0040114C RETN 


代码 流程 图 
根据 上 面 的 代码 画 出 main() 函 数 的 代码 流程 图 ， 如 图 56-11 所 示 ( 请 各 位 自己 分 析 上 述 代 码 ， 


画 出 代码 流程 图 )。 


图 56-11 main0 函 数 的 代码 流程 图 
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由 于 CreateProcess() 与 ResumeThread() API 的 行为 动作 非常 明确 ， 所 以 下 面 的 调试 以 main() 调 
用 的 3 个 子 函 数 ( SubFunc_1~3 ) 为 主 。 


56.4.3 SubFunc 1() 


首先 按 Ctrl+F2 快 捷 键 重启 调试 器 ， 调 试 运行 至 main0 函 数 的 401063 地 址 处 。 
00401063 CALL 00401150 ; SubFunc_1() 

401063 地 址 处 有 函数 调用 指令 CALL 401150,，401150 地 址 处 的 函数 就 是 SunFunc 10 函数 。 跟 
踪 进 入 函数 ， 其 代码 ( 主要 代码 ) 如 图 $6-2 所 示 。 


代码 56-2 SunFunc _1() 函 数 


; SubFunc 1() 


00401150 PUSH EBP 

00401151 MOV EBP,ESP 

00401153 PUSH ECX 

00401154 PUSH ESI 

00401155 PUSH 0 

00401157 PUSH 80 

0040115C PUSH 3 

0040115E PUSH 0 

00401160 PUSH 1 

00401162 PUSH 80000000 

00401167 PUSH EAX 

00401168 MOV DWORD PTR SS:[EBP-4],0 
0040116F CALL DWORD PTR DS:[409020] 


-hTemplateFile - NULL 
-Attributes - NORMAL 

-Mode = OPEN EXISTING 
-pSecurity = NULL 

-ShareMode - FILE SHARE READ 
-Access = GENERIC READ 
-FileName - "real.exe" 


“s se ss ve ve ~se ~e 


CreateFileW() 


~ 


-pFileSizeHigh = NULL 
-hFile 
GetFileSize() 


00401185 PUSH 0 

00401187 PUSH ESI 

00401188 CALL DWORD PTR DS: [409004] 
0040118E MOV EBX, EAX 

00401190 PUSH EBX 

00401191 CALL 00401624 


` se 


-bufsize = A000 (40960) 
new() 


~. 


004011A6 PUSH 0 -pOverlapped = NULL 
004011A8 LEA ECX,DWORD PTR SS:[EBP-4] 
004011AB PUSH ECX 
004011AC PUSH EBX 
004011AD PUSH EDI 


004011AE PUSH ESI 


- 


-pBytesRead - 0012FECC 
-BytesToRead = A000 (40960) 
-Buffer = 00572B40 

-hFile = 00009020 (window) 


M^ <+ ss ve S+ s> ~e 


004011AF CALL DWORD PTR DS:[40901C] ReadFile() 
004011B5 PUSH ESI -hObject = 00000020 (window) 
004011B6 CALL DWORD PTR DS:[409030] CloseHandle() 


004011C4 RETN 

SunFunc_10 函 数 内 部 仅 调 用 了 Win32 API， 没 有 调用 其 他 子 函 数 。SunFunc_10 函 数 用 来 将 
real.exe 文 件 整 个 读 入 内 存 ， 此 后 ， 内 存 中 存储 的 就 是 real.exe 文 件 的 内 容 。 为 了 方便 ， 我 们 将 该 
内 存 地 址 称 为 MEM_FILE_REAL EXE。SunFunc_10 函 数 执行 完成 后 ， 执 行程 序 将 其 返回 main() 
函数 。 
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56.4.4 CreateProcess( "fake.exe", CREATE SUSPENDED) 


程序 执行 至 main() 函 数 的 401079 地 址 处 ， 出 现 调 用 CreateProcess() API 的 代码 ， 如 图 所 示 。 


00401079 PUSH EAX ; -pProcessInfo = 0012FEE8 
0040107A LEA ECX,DWORD PTR SS:[ESP+24] 
0040107E PUSH ECX ; -pStartupInfo = 0012FEF8 


0040107F PUSH 0 ; -CurrentDir = NULL 

00401081 PUSH 0 ; -pEnvironment = NULL 

00401083 PUSH 4 ; -CreationFlags = CREATE SUSPENDED 
00401085 PUSH 0 ; -InheritHandles = FALSE 

00401087 PUSH 0 ; -pThreadSecurity = NULL 

00401089 PUSH 0 ; -pProcessSecurity = NULL 
0040108B PUSH EDX ; -CommandLine = “fake.exe” 
0040108C PUSH 0 ; -ModuleFileName = NULL 


0040108E CALL DWORD PTR DS:[40900C] ; CreateProcessW() 
上 述 代码 中 调用 CreateProcess() APTE Ekan exe 进 程 ， 其 参数 CREATE SUSPENDED 用 来 指 
定 该 进程 处 于 挂 起 状态 。 进 程 被 挂 起 时 处 于 暂停 状态 ， 此 时 可 以 自由 操作 其 对 应 的 内 存 。 


56.4.5 SubFunc 2() 


继续 调试 ， 出 现 调用 SubFunc_ 20 函数 的 代码 ， 如 下 所 示 。 
004010B2 CALL 004011D0 ; SubFunc 2() 
跟踪 进入 SubFunc_ 20 函数 ， 其 代码 ( 主要 代码 ) 如 下 所 示 。 











mU PUSH EBP 
004011D1 MOV EBP,ESP 


0040120C PUSH ECX ; -pContext 
0040120D PUSH EDX ; -hThread 

0040120E MOV DWORD PTR SS:[EBP-2D0],10007 

00401218 CALL DWORD PTR DS:[409000] . ; GetThreadContext () 


00401246 MOV ECX,DWORD PTR SS: [EBP-22C] ; CONTEXT.Ebx - address of 


PEB 

0040124C MOV EDX,DWORD PTR DS:[ESI] 
0040124E PUSH 0 ; -pBytesRead - er 
00401250 PUSH 4 ; -BytesToRead - 
00401252 LEA EAX,DWORD PTR SS: [EBP-2D4] 
00401258 PUSH EAX ; -Buffer 
00401259 ADD ECX,8 
0040125C PUSH ECX ; -pBaseAddress 

= PEB.ImageBase 
0040125D PUSH EDX ; -hProcess 
0040125E C*LL DWORD PTR DS:[409018] ; ReadProcessMemory( ) 
0040128C MOV EAX,DWORD PTR DS: [EDI-«3C] SEDI MEM FILE REAL EXE 


H" I 


Address of IDH 
; [EDI+3C] = IDH.e lfanew 
0040128F MOV ECX,DWORD PTR DS:[EAX+EDI+34] ; EAX+EDI = Address of INH 
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; EAX+EDI+34 
= INH.IOH.ImageBase 
00401293 LEA EAX,DWORD PTR DS: [EAX+EDI+34] 
00401297 CMP ECX,DWORD PTR SS:[EBP-2D4] ; ECX = ImageBase of real.exe 
; [EBP-2D4] = ImageBase 
of fake.exe 
0040129D JNZ SHORT 004012bEA 


Pg P PIP b P Ff p 8 pP p PPK b Pp ER p pp 


; case 1 : ImageBase of real.exe == ImageBase of fake.exe 


0040129F PUSH 40B258 ; -Name = “ZwUnmapViewOfSection” 
004012A4 PUSH 40B270 ; --pModule = “ntdll.dll” 
004012A9 CALL DWORD PTR DS:[409014] ; --GetModuleHandleW() 

004012AF PUSH EAX ; -hModule 

004012B9 CALL DWORD PTR DS:[409028] ; GetProcAddress() 


004012B6 MOV EDX,DWORD PTR SS: [EBP-2D4] 
004012BC MOV ECX,DWORD PTR DS:[ESI] 


004012BE PUSH EDX ; -ProcHandle = Process Handle 
of fake.exe 
004012BF PUSH ECX ; -BaseAddress - ImageBase of 
fake.exe 
004012C0 CALL EAX : ; ZwUnmapViewOfSection() 
PERERPRHRRRTRRRARWVRRERRVARRVTRRRARTRVRERTRRAVRARRARRARRAAVRRRRR 3333333333 
; case 2 : ImageBase of real.exe !- ImageBase of fake.exe 


004012EA MOV EDX,DWORD PTR SS:[EBP-22C] ; Address of PEB ("fake.exe") 
004012F0 PUSH 0 ; -pBytesWritten = NULL 
004012F2 PUSH 4 ; -BytesToWrite = 4 

004012F4 PUSH EAX ; -Buffer = ImageBase of 


"real.exe" 
004012F5 MOV EAX,DWORD PTR DS: [ESI] 
004012F7 ADD EDX,8 
004012FA PUSH EDX ; -Address - PEB.ImageBase 
004012FB PUSH EAX ; -hProcess 
004012FC CALL DWORD PTR DS:[409034] ; WriteProcessMemory() 


00401311 MOV ESP,EBP 
00401313 POP EBP 
00401314 RETN 


SubFunc_20 函 数 内 部 应 用 了 PE 映像 切换 技术 ， 下 面 详细 分 析 。 


获取 fake.exe 进 程 的 实际 映射 地 址 
在 401218 地 址 处 调用 GetThreadContext() API， 获 取 fake.exe 进 程 的 主线 程 上 下 文 。 


0040120C PUSH ECX ; -PContext 
0040120D PUSH EDX ; -hThread 

0040120E MOV DWORD PTR SS:[EBP-2D0],10007 

00401218 CALL DWORD PTR DS:[409000] ; GetThreadContext() 


获取 但 ke.exe 进 程 的 主线 程 上 下 文 后 ， 通 过 它 来 获得 进程 的 PEB ， 然 后 再 由 PEB.ImageBase 得 
到 进程 的 实际 映射 地 址 ( 进程 的 实际 映射 地 址 存储 在 PEB.ImageBase 成 员 中 )。 在 40125E 地 址 处 调 
用 ReadProcessMemory() API 来 获取 fake.exe 进 程 的 映射 地 址 。 


00401246 MOV ECX,DWORD PTR SS:[EBP-22C] ; CONTEXT.Ebx = address of PEB 
0040124C MOV EDX,DWORD PTR DS: [ESI] 

0040124E PUSH 0 ; -pBytesRead 
00401250 PUSH 4 ; -BytesToRead - 


NULL 
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00401252 LEA EAX,DWORD PTR SS:[EBP-2D4] 


00401258 PUSH EAX ; -Buffer 

00401259 ADD ECX,8 

0040125C PUSH ECX ; -pBaseAddress = PEB.ImageBase 
0040125D PUSH EDX ; -hProcess 

0040125E CALL DWORD PTR DS:[409018] ; ReadProcessMemory() 


各 位 可 能 会 对 上 述 代 码 感到 陌生 。 当 前 fake.exe 进 程 是 以 挂 起 模式 创建 的 ， 处 于 暂停 状态 。 
进程 被 创建 出 来 时 ，PE 装 载 器 就 会 将 PEB 结 构 体 的 地 址 设置 给 EBX 寄 存 器 。 所 以 ,要 获取 EBX 寄 
存 器 的 值 必须 先 获 取 进 程 主 线程 的 上 下 文 。 用 语言 描述 以 上 各 结构 体 的 关系 显得 有 些 复杂 , 可 以 
用 图 56-12 简 单 表示 ， 从 图 中 我 们 能 够 清晰 把 握 各 结构 体 之 间 的 关系 。 


GetThreadContext( ) 
struct CONTEXT 


i 
. DWORD Ebx 一 
Jj — jj a mu. 











struct PEB 
[ 









DWORD ImageBase 





} 





图 $6-12 ”获取 进程 实际 映射 地 址 的 方法 
提示 
对 于 Windows XP 系统 下 的 EXE 文件 而 言 ，PE 文件 头 中 的 ImageBase 值 就 是 进程 
的 实际 映射 地 址 。 但 是 从 Windows Vista 系统 开始 ， 微 软 引 入 了 ASLR SOR, PE 文件 
头 中 的 ImageBase 值 与 进程 的 实际 映射 地 址 不 再 相同 。 








获取 real.exe 文 件 的 ImageBase 
40128C、40128F 地 址 处 的 指令 用 来 读 取 real.exe 文 件 的 PE 文件 头 信息 ， 获 取 ImageBase。 


0040128C MOV EAX,DWORD PTR DS:[EDI+3C] ; EDI = MEM_FILE_REAL EXE (*) 
= Address of IDH 
; EDI+3C = IDH.e_lfanew 


EDI 寄 存 器 的 值 为 MEM_FILE REAL EXE 地 址 (该 地 址 是 在 SubFunc_10 中 分 配 得 到 的 内 存 
起 始 地 址 ，realexe 文 件 的 内 容 被 原封 不 动 地 保存 其 中 )。 也 就 是 说 ，EDI 指 向 real.exe 文 件 的 PE 文 
件 头 。 所 以 EDI+H3C 指 的 就 是 IMAGE DOS_HEADER 结 构 体 的 e_lfanew 成 员 ( IDH.e lfanew )， 上 
述 指令 用 来 将 它 的 值 保 存 到 EAX。 


0040128F MOV ECX,DWORD PTR DS: [EAX+EDI+34] ; EAX+EDI = Address of INH 
; EAX+EDI+34 
= INH.IOH.ImageBase 


上 面 的 指令 中 , EAX+EDI=IDH.e_lfanew+Start ofPE 是 IMAGE NT_HEADER 结 构 体 的 起 始 地 
址 ，EAX+EDI+34 指 的 是 IMAGE OPTION _ HEADER.ImageBase 成 员 。 执 行 上 述 指令 后 ，realexe 
文件 的 ImageBase 值 将 被 存 人 人 ECX 寄存器。 
提示 
下 面 显 示 的 是 realexe 文件 的 实际 PE 文件 头 。 为 了 计算 方便 ， 取 EDI=0， 则 
[EDIH3C]=D0， 将 其 存 入 EAX 后 ，[EAX+EDIH31]=[D0+0+34]=[104]=400000。 
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pFile 


| pMem 


| Value 


[ IMAGE DOS HEADER ] 


60000000 
00000002 
00000004 
00000006 
00000008 
0000000A 
0000000C 
0000000E 
00000010 
00000012 
00000014 
00000016 
00000018 
0000001A 
0000001C 
0000001E 
00000020 
00000022 
00000024 
00000026 
00000028 
0000002A 
0000002C 
0000002E 
00000030 
00000032 
00000034 
00009036 
00000038 
0000003A 
0000003C 


00400000 
00400002 
00400004 
00400006 
00400008 
0040000A 
0040000C 
0040000E 
00400010 
00400012 
00400014 
00400016 
00400018 
0040001A 
0040001C 
0040001E 
00400020 
00400022 
00400024 
00400026 
00400028 
0040002A 
0040002C 
0040002E 
00400030 
00400032 
00400034 
00400036 
00400038 
0040003A 
00400903C 


[ DOS STUB ] 


00000040 
000000CF 


00400040 
004000CF 


0000 
000000D0 





| Description 


IMAGE DOS SIGNATURE (MZ) 
bytes on last page of file 
number of pages in file 
relocations 

size of header in paragraphs 
minimum extra paragraphs 
maximum extra paragraphs 
SS (initial stack segment) 
SP (initial stack pointer) 
Checksum 

IP (initial instruction pointer) 
CS (initial code segment) 
offset to relocation table 
overlay number 

reserved 

reserved 

reserved 

reserved 

OEM identifier 

OEM information 

reserved 

reserved 

reserved 

reserved 

reserved 

reserved 

reserved 

reserved 

reserved 

reserved 

offset to new EXE header 


start 
end 


[ IMAGE NT HEADERS N SIGNATURE ] 
000000D0 004000D0 00004550 IMAGE NT SIGNATURE (PE) 


[ IMAGE NT HEADERS X IMAGE FILE HEADER ] 


000000D4 
000000D6 
000000D8 
000000DC 
000000E0 
000000E4 
000090E6 


004000D4 
004000D6 
004000D8 
004000DC 
004000E0 
004000E4 
0904000E6 


014C 
0004 
4DCCC652 
00000000 
00000000 
00E0 
010F 


machine 

number of sections 

time date stamp (Fri May 13 14:49:06 2011) 

offset to symbol table 

number of symbols 

size of optional header 

characteristics 
IMAGE FILE RELOCS STRIPPED 
IMAGE FILE EXECUTABLE IMAGE 
IMAGE FILE LINE NUMS STRIPPED 
IMAGE FILE LOCAL SYMS STRIPPED 
IMAGE FILE 32BIT MACHINE 





[ IMAGE NT HEADERS N IMAGE OPTIONAL HEADER ] 


000000E8 
000000EA 


004000E8 
0904000EA 


010B 
06 


magic 
major linker version 
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000000EB 004000EB 00 minor linker version 
000000EC 004000EC 00004000 size of code 

000000F0 004000F0 00005000 size of initialized data 
000000F4 004000F4 00000000 size of uninitialized data 
000000F8 004000F8 00001060 address of entry point 
000000FC 004000FC 00001000 base of code 

00000100 00400100 00005000 base of data 

00000104 00400104 00400000 image base 

00000108 00400108 00001000 section alignment 

0000010C 0040010C 00001000 file alignment 


00000110 00400110 0004 major OS version 
00000112 00400112 0000 minor OS version 
00000114 00400114 0000 major image version 
00000116 00400116 0000 minor image version 
00000118 00400118 0004 major subsystem version 
0000011A 0040011A 0000 minor subsystem version 


0000011C 0040011C 00000000 win32 version value 
00000120 00400120 0000A000 size of image 
00000124 00400124 00001000 size of headers 
00000128 00400128 00000000 Checksum 

0000012C 0040012C 0002 subsystem 

0000012b 0040012b 0000 DLL characteristics 
00000130 00400130 00100000 size of stack reserve 
090000134 00400134 00001000 size of stack commit 
00000138 00400138 00100000 size of heap reserve 
0000013C 0040013C 009001000 size of heap commit 
00000140 900400140 00000000 loader flags 

00000144 00400144 00000010 number of directories 





比较 : ImageBase of fake.exe & ImageBase of real.exe 
比较 fake.exe 进 程 的 实际 映射 地 址 与 real.exe 文 件 的 ImageBase 值 。 


00401297 CMP ECX,DWORD PTR SS:[EBP-2D4] ; ECX = ImageBase of real.exe 
; [EBP-2D4] = ImageBase of 
fake.exe 


0040129D JNZ SHORT 004012EA 

比较 2 个 ImageBase 的 值 ， 并 根据 结果 确定 要 执行 的 分 支 。 若 相同 ， 则 跳 转 到 40129F 地 址 处 ， 
否则 跳 转 到 4012EA 地 址 处 。 

两 值 相同 时 





fake.exe process 






"real.exe" 


ImageBase:400000 


kernel32 dll 





图 $6-13 ”两 值 相同 时 
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如 图 56-13 所 示 ， 此 种 情形 下 ，fake.exe 的 PE 映像 已 经 映射 到 400000 地 址 处 ， 地 址 400000 也 是 
real.exe 的 PE 映像 要 映射 的 地 址 。 若 将 real.exe 强 行 映 射 到 该 地 址 处 ， 就 会 发 生 冲 突 ， 所 以 必须 先 
$R ( Unmapping ) fake.exe 的 PE 映像 的 映射 。 由 于 fake.exe 进 程 处 于 挂 起 状态 ， 所 以 印 载 PE 映像 
时 进程 中 也 不 会 发 生 错 误 。 


004012BE PUSH EDX ; -ProcHandle = Process Handle of fake.exe 
004012BF PUSH ECX ; -BaseAddress = ImageBase of fake.exe 
004012C0 CALL EAX ; ZwUnmapViewOfSection() 


印 载 进 程 的 PE 映像 时 ， 调 用 的 是 ntdlll1ZwUnmapViewOfSection() API， 其 函数 原型 如 下 所 示 : 
A CA e M M c — 
NTSTATUS ZwUnmapViewOfSection( 

In HANDLE ProcessHandle, 
. .in opt PVOID BaseAddress 
); 出 处 : http://msdn.microsoft.com/en - us/library/ff567119(v=vs.85).aspx 


两 值 不 同时 











fake.exe process 


*real.exe" : : 


ImageBase:400000 


1000000 





kernel32.dll 


图 56-14 两 值 不 同时 


如 图 56-14 所 示 , 2 个 ImageBase 值 不 同时 , 不 必 非 得 印 载 fake.exe 的 PE 映像 ,可 以 先 在 fake.exe 
进程 的 虚拟 内 存 空间 中 为 real.exe 的 PE 映像 分 配 所 需 空间 ， 然 后 将 real.exe 映 射 进 去 就 可 以 了 。 接 
下 来 还 要 告知 PE 装载 器 ， 伺 ke.exe 进 程 的 PE 映像 是 40000 地 址 处 的 realexe， 而 不 是 1000000 地 址 处 
的 fake.exe。 简 单 修改 PEB 的 ImageBase 成 员 即 可 。 


004012EA MOV EDX,DWORD PTR SS:[EBP-22C] 
004012F0 PUSH 0 

004012F2 PUSH 4 

004012F4 PUSH EAX 


Address of PEB ("fake.exe") 
-pBytesWritten = NULL 
-BytesToWrite = 4 

-Buffer = ImageBase of 


"real.exe" 
004012F5 MOV EAX,DWORD PTR DS:[ESI] 
004012F7 ADD EDX,8 
004012FA PUSH EDX ; -Address - PEB.ImageBase 


004012FB PUSH EAX ; -hProcess 


004012FC CALL DWORD PTR DS:[409034] ; WriteProcessMemory() 


以 上 代码 的 4012FC 地 址 处 调用 了 WriteProcessMemory() API， 将 人 ake.exe 进 程 的 PEB.ImageBase 
值 修改 为 real.exe 文 件 的 ImageBase 值 。 


提示 
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前 面 已 获取 fake.exe 进程 的 PEB 地 址 与 real.exe 文件 的 ImageBase 值 。 


经 过 上 述 一 系列 操作 ，fake.exe 进 


fake.exe 进 程 的 PE 映像 被 删除 了 。 
56.4.6 SubFunc 3() 





井 程 的 PE 映像 就 被 卸载 ( PEB.ImageBase 被 修改 ) f , BJ 


接 下 来 要 把 real.exe 文 件 映 射 到 fake.exe 进 程 。main() 函 数 的 4010D1 地 址 处 是 调用 SubFunc_30 


函数 的 指令 。 


004010D1 CALL 00401320 


跟踪 进入 SubFunc 30 函数 (401320 起 始 地 址 )， 出 现 图 56-15 所 示 代 码 。 


004013 
00401321 || . 8BEC 
Ba421323|| . 


p049132E|| . 33C5 
GE461338|| 。 8945 FC 
86461333|| 。 8B45 08 
BG491336|| 。 56 

B6461337|| 。 57 

004615358 68 C8020000 


Ba48133n|]. 
BB481343|| . 6A 00 
9080491345]. 51 

Bna481i3s46||. 
0040134C]|| 。 





81EC DC020000 
0090401329 |. R1 3CC04000 


SDSD S4FDFFFF 


8985 2CFDFFFF 
C785 38FDFFFF 4 MOU DWORD PTR SS:LEBP-2D8],6 


[856-15 SubFunc _ 30) 函数 起 始 代码 


; SubFunc 3() 


— 


MOU EBP,ESP 

SUB ESP,2DC 

MOU ERX,DWORD PTR DS; [48C83C] 
XOR ERX,EBP 

MOU DWORD PTR SS:LEBP-41,ERX 
MOU EAX, DWORD PTR SS:LEBP+81 
PUSH ESI 

PUSH EDI 

PUSH 2C8 

LEA ECX, DWORD PTR SS:[EBP-2CC1 
PUSH à 

PUSH ECX 

MOU DWORD PTR SS:LEBP-2D41,ERX 











下 面 开 始 详细 调试 SubFunc_30 函 数 ， 请 各 位 亲自 逐 行 调试 ， 理 解 各 条 指令 的 含义 。 


为 real.exe 的 PE 映像 分 配 内 存 
使 用 StepOver(F8) 命 令 调试 运行 


图 56-16 所 示 。 









004013 
00401389 











mo4acaiB|61 6C 
8040C018| 64 4G 40 68/48 92 


6C 6F| 63 48 73 ?4|alloc@st 
48 BG| dEB,H?,. 


， 在 401383 地 址 处 遇 到 调用 VirtualAllocEx0 函 数 的 指令 ， 如 








DO12FEDS 
8812FBDC 
DBBi2FBEB 
BBO12FBE4 






* 20400006 
* &Baanoap 
* 9800020090 
* Baabaa4a 


Prs2 = 00400000 
Arg3 = B6885R566 
Ara4 = 02003600 
Arg5 = 0000B4 








图 56-16 调用 VirtualAllocEx(): 为 real.exe 的 PE 映像 分 配 内 存 


此 时 查看 存储 在 栈 中 的 函数 参数 。 函 数 的 第 二 个 参数 Arg2 为 欲 分 配 的 内 存 起 始 地 址 , 其 值 为 
real.exe 的 ImageBase ( 400000 ); 函数 的 第 三 个 参数 Arg3 为 欲 分 配 的 内 存 大 小 ， 其 值 为 real.exe 的 


SizeOflmage ( A000 )。 总 之 ,调用 VirtualAllocEx() API 后 


像 分 配 了 内 存 空间 。 
映射 PE 文件 头 


为 real.exe 的 PE 映像 分 配 好 内 存 空 


， 即 在 fake.exe 进 程 中 为 real.exe 的 PE 映 


s 间 后 ， 接 下 来 就 要 将 real.exe 映 射 到 fake.exe 进 程 。 
如 图 56-17 所 示 ， 在 40 1405 地 址 处 调用 WriteProcessMemory0 API, 将 real.exe 的 PE 文件 涉 写 人 
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刚刚 分 配 的 内 存 区 域 (582B40 地 址 即 是 real.exe 文 件 (MEM FILE REAL EXE), HiSubFunc 10 
函数 读 入 )。 


BA4B1SF2l| . € PUSH 6 

PUSH EAX 

MOU EAX, DWORD PTR DS: CEDI«CI 
ADD EAX, DWORD PTR SS;[LEBP-2DCI 
ADD EDX, EBX 

PUSH EDX 

MOU EDX, DWORD PTR DS:[ECX] 
PUSH EAX 
PUSI 










pBytesWritten = NULL 
ByrtesToWrite = 401003 (41933406, 1 













8B47 GC 

8935 24FDFFFF 
B303 

. 52 

8804014061 | .. SB11 

aeo . 50 


Debu gMe3. 20400000 







Buffer = Oünmanoco 











Addr 





3481888 





DS: [004090241=?71C8S%SF (k €192.UriteProcesstenorg) 







Buffer = 008S83B40 
a BytesToblrite = 4000 (16384.) 
3j BeisFBE4| 0000900000 ULpButesuritten = NULL 





| cz 19 eo 30/90 90 9a solo. =m? 


图 56-17 映射 PE 文件 头 


提示 
图 56-17 中 BytesToWrite 参数 为 real.exe 的 SizeOfHeader 4& ( 4000 )， 前 面 的 代码 
中 有 从 PE 文件 头 获取 该 信息 的 代码 ， 请 各 位 亲自 调试 并 确认 。 





映射 PE 节 区 
接 下 来 该 映射 PE 节 区 (PE Section) 了 ， 代 码 如 图 $6-18 所 示 。 







PUSH & pBytesliritten = NULL 
. A PUSH EAX BytesToWrite = 401000 (4193408, ) 
üe4clsFS||. C MOU EAX, DWORD PTR DS: CEDI+C] 






D64013F8|| . S4FDFFFF || RDD EAX, DWORD PTR SS;[EBP-2DCJ DetbugMe23, A040000 
@Ə401šFE]]| . aso RDD EDX,EBX 

eaap1408|| . PUSH EDX 

B0461481|| ， € MOY EDX, DWORD PTR DS; [ECX] 


DBB481493|| . Rddre 











Buffer = üBBBOOPS 







4801988 














Buffer = 00583B40 
EstesTolrite = 4000 (16384.) 


图 $6-18 ”映射 PE 节 区 


启动 循环 , 根据 节 区 数量 反复 调用 WriteProcessMemory() API ( 图 56-18 为 部 分 循环 代码 ), ph 
射 PE 节 区 。 该 过 程 需 要 的 信息 ( 地址、 大 小 等 ) 是 读 取 PE 文 件 头 的 IMAGE_SECTION_HEADER 
获取 的 (请 各 位 亲自 调试 并 确认 )。 上 述 循环 结束 后 ，real.exe 文 件 即 被 完全 映射 至 fake.exe 进 程 的 
40000 地 址 处 ( real.exe 的 ImageBase )。 但 是 此 时 real.exe 代 码 还 无 法 正常 运行 , 需要 修改 进程 的 EP。 

修改 EP 

当前 fake.exe 进 程 正 处 于 挂 起 状态 ， 将 其 恢复 运行 后 ， 进 程 的 主线 程 会 运行 何 处 的 代码 呢 ? 
为 了 解答 这 一 问题 ， 需要 先 获取 主线 程 的 CONTEXT 结 构 体 ， 然后 查看 其 Eip 成 员 值 ， 如 图 56-19 
所 示 。 






pContest = Q@Q@12FBFC 
hThread = 0900080824 (window) 


60401436 
8080401327 
00401433 
BGdG1442 







图 56-19 ”调用 GetThreadContext() 
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如 图 56-19 所 示 ， 在 401442 地 址 处 调用 GetThreadContext() API， 获 取 fake.exe 进 程 的 主线 程 的 
CONTEXT 结 构 体 。 图 56-20 中 , 黑色 粗 线 框 部 分 就 是 调用 函数 获取 的 主线 程 的 CONTEXT 结 构 体 。 








onoo 2eoodg| 
$0888899998 : 













ea oo ao à 
ga ea HA Ai 


90 OA ag GB 00 6B G8[........ eese 
Eip 80 oo oa OO pof: 
pa Ba eo ao ee[..... x65........ 


oococococooooco 

Š$ Š S & Š S @ S @ @ 
加 加 加 加 加 加 加 
加 








cool 
78888888888 


839882288 








° 


ij 





图 56-20 CONTEXT 结构 体 


CONTEXT 结 构 体 中 有 2 个 成 员 需要 注意 , 它们 是 Eax 与 Eip 成 员 , 分 别 位 于 从 结构 体 开 始 偏 移 
为 B0 与 B8 的 位 置 (参考 图 56-20 )。 首 先 查 看 CONTEXT.Eax 成 员 ， 其 值 为 401041， 该 地 址 很 可 能 
位 于 fake.exe 进 程 ， 借 助 Stud_ PE 工具 确认 ， 如 图 5$6-21 所 示 。 





图 56-21 Stud PE: fake.exe 


如 图 56-21 所 示 , Eax( 401041 ) 值 为 fake.exe 进 程 的 EP 地 址 ( VA 形式 )。 接 下 来 看 CONTEXT.Eip 


772864D  895C24 68 - 
7TTZ854E80 v E9 C84E8168 JMP 772983AD 





[856-22  ntdll.RtIUserThreadStart() 


由 图 56-22 可 知 ， 该 地 址 为 ntdll.RtlUserThreadStart() API 的 起 始 地 址 。 已 知 EIP 寄 存 器 存储 的 
是 要 执行 的 指令 代码 的 地 址 ， 而 EAX 寄存 器 则 用 来 存储 返回 地 址 。 查 看 CONTEXTEip 与 
CONTEXT.Eax 成 员 后 ， 可 将 上 述 代码 的 执行 过 程 整理 为 : 处 于 挂 起 状态 的 fake.exe 进 程 恢复 运行 
后 ,首先 会 调用 ntdll.RtlUserThreadStart() APK CONTEXT.Eip ), 跳 转 至 EP 地 址 处 ( CONTEXT.Eax )。 
由 于 前 面 已 经 将 fake.exe 进 程 的 PE 映像 替换 为 real.exe， 所 以 需要 将 CONTEXT.Eax 修 改 为 real.exe 
的 EP 地 址 ( 401060 )。 

观察 图 56-23 中 的 代码 ， 位 于 4014A2~4014A5 地 址 处 的 MOV、ADD 指 令 用 来 将 401060 地 址 
( real.exe 的 EP 地 址 ) 设置 到 EDX 寄 存 器 。 而 4014B3 地 址 处 的 MOV 指 令 又 将 该 地 址 值 传送 到 
[EBP-220] ( CONTEXT.Eax )。 然 后 调用 SetThreadContext() API， 将 更 改 应 用 到 fake.exe 进 程 。 这 
样 就 将 fake.exe 进 程 的 PE 映像 由 原来 的 fake.exe 更 换 为 real.exe。 
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MOY ECX, DWORD PTR DS: [EDI+4] 
jj LER EAX, DWORD PTR SS: tEBP-2D83 
j| PUSH EAX 






0040614ñn9 
004014RE 
B040614E1 


pContest = BB12FBFC 












| CALL DWORD PTR DS: [4090081 SetThresdtontent 


图 $6-23  SetThreadContext() 


56.4.7 ResumeThread() 
最 后 ， 调 用 ResumeThread()， 恢 复 运 行 fake.exe 进 程 。 


; Resume Thread 
004010F0 PUSH ECX - hThread = 00000024 (window) 


004010F1 CALL DWORD PTR DS:[409038] ResumeThread() 


如 图 56-24 所 示 ， 拥 有 real.exe 的 PE 映像 核心 的 fake.exe 进 程 重新 运行 起 来 。 





[ 2 Process Explorer - Syinterna 
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i Eh exe. j« 0.91 3355 Synaptics TouchPad En... Synaptics lacer 
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26:2 sapanta Tencent 

3904 Bluetooth Tray dentis. |, Breadeom orpers 

X 3338 Internet Esplora | Miesesoft Corpo 

| 3836 Microsoft Nord ined era: 
-— d 


xd utilitr exe. 















This is a real process!!! 

















区 U Usage: 29.12% Commit Charge: 5085% Processes: 98 Physical Usage: 6 66.29% | 


图 56- 24 fake. oxe 进 程 的 PE 映像 被 更 改 为 real exe 
通过 上 面 的 调试 练习 , 我 们 学 习 了 PE 映像 切换 技术 的 工作 原理 。 希望 各 位 亲自 调试 , 切实 掌 
握 PEB、CONTEXT 等 结构 体 的 操作 方法 。 
56.5 调试 2 
运行 fake.exe 进 程 时 应 用 了 PE 映像 切换 技术 ， 下 面 学 习 调试 fake.exe 进 程 的 方法 。 


提示 








调试 1 中 ， 我 们 学 习 了 调试 DebugMe3.EXE 的 方法 。 搬 开 调试 技术 不 谈 ， 其 调试 
步骤 与 调试 普通 的 应 用 程序 没有 什么 不 同 。 对 代码 逆向 分 析 人 员 而 言 ， 了 解 PE 映像 切 
换 技 术 的 工作 原理 是 非常 重要 的 ， 但 他 们 更 感 兴趣 的 是 调试 应 用 该 技术 的 进程 。 调试 
不 同文 件 会 遇 到 多 种 突 发 情况 ， 所 以 必须 学 习 多 种 调试 技巧 。 
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56.5.1 思考 


通过 前 面 的 学 习 , 我 们 已 经 了 解 了 PE 映像 切换 技术 的 工作 原理 , 所 以 能 够 比较 容易 想到 调试 
fake.exe 进 程 (PE 映像 已 被 改变 ) 的 方法 。 

那么 ， 怎 样 才能 从 fake.exe 进 程 ( PE 映像 已 被 更 改 为 real.exe ) 启动 时 开始 调试 呢 ? 我 的 想法 
是 ,将 real.exe 文 件 映射 到 fake.exe 进 程 前 ， 疝 real.exe 的 EP 代码 设置 无 限 循环 ( 关于 设置 无 限 循环 
的 方法 请 参考 第 54 章 )。 向 fake.exe 进 程 映射 完 real.exe 文 件 并 恢复 运行 时 ， 它 的 EP 代码 会 被 执行 ， 
导致 程序 运行 陷入 已 设置 好 的 无 限 循环 。 此 时 , 借助 调试 器 的 附加 功能 将 其 附加 到 调试 器 即 可 调 
试 。 此 外 还 有 许多 方法 ， 从 这 些 方 法 中 选择 适合 自己 的 就 可 以 了 。 


56.5.2 ”向 EP 设置 无 限 循环 


首先 要 查看 real.exe 文 件 的 EP 代码 的 位 置 。 

如 图 56-25 所 示 ， 借 助 Stud_PE 工 具 查 看 ， 获 知 real.exe 文 件 的 EP 偏 移 为 1060。SubFunc_10 函 
数 负 责 将 real.exe 文 件 读 入 内 存 ， 所 以 只 要 在 EP 处 设置 无 限 循 环 代码 就 可 以 了 。 先 在 调试 器 中 打 
JFDebugMe3.exe ( 参考 图 56-8 )， 然 后 调试 运行 到 4011B5 地 址 处 ， 如 图 56-26 所 示 。 














图 56-25 Stud PE: real.exe 








004011B6]] > € PUSH à pDverlapped = NULL 


LER ECX, DWORD PTR SS: [EEP-4] 





pButesRead = kernel32.771ADBOZ 
Bg d = Raga (40960,) 





ea4o1iiRD|]. 
eedaiiRE||. s. 
D04011AF . 












001E29CS| BE 1F BR GE 00 B4 09 CD 21 B8 Ø1 4C|CD 21 54 68| 8f?.???L?Th 

801E29DS|69 73 20 70 72 6F 67 72| 61 6D 20 63| 61 6E 6E 6F| is program canno 
&81E29EB|74 20 62 65| 20 72 75 6E| 20 69 6E 20 44 4F 53 20|t be run in DOS 
&BiE2SFB|6D 6F 64 65| 2E ƏD BD On|24 GG QQ 96| 98 ee eo OO[|mode....s....... 


图 $6-26 ”将 real.exe 文 件 读 入 内 存 


缓冲 区 的 起 始 地 址 为 1E2988，real.exe 的 EP 偏 移 量 为 1060, 将 二 者 相 加 得 到 real.exe 的 EP 代码 
的 实际 地 址 1E39E8。 
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图 56-27 中 ，EP 代 码 的 前 2 个 字 节 为 558B, 借助 调试 器 的 代码 编辑 功能 ( 快捷 键 Ctrl+E ) 将 其 
修改 为 无 限 循环 代码 ( EBFE )， 如 图 56-28 所 示 。 


S 8B EC 6A FF 68 AS 5040 GB 68 2C 1D 40 69 64 Umj ha G.h,«G. 


.Pd?.... EX 





图 56-27 real.exe 的 EP 代码 








UNcoDE [ 1 


HEX 402 P FE | 


[^ Keep size 





Cancel | 
[856-28 ”修改 real.exe 的 EP 代码 


然后 按 F9 键 运行 DebugMe3.exe 进 程 ， 运 行 到 最 后 ，fake.exe 进 程 ( 其 PE 映像 已 被 更 改 ) 就 会 
陷入 无 限 循环 。 再 打开 新 调试 器 ， 使 用 Attach 命 令 打开 附 加 进程 对 话 框 ， 如 图 56-29 所 示 。 





calc C:\Windows\system32\calo, exe 
cmd C:\Windows\system32\cmd.exe 
conhost |MSCTFIME UI C: lindousssystem32wconhost.exe 
S85885824| conhost | MSCTFIME UI C: lindowsssystemS2*conhost.exe 
noogeo eiei esrss C: sllindowsssystemS2*cosrss.eue 

33| csrss CillindouwsssystemS2*csrss.ewe 

FC| DebugHe3| C: work *Debughe3. exe C: worksDebugHe3, exe 

a| Dwm DWM Notification Window C:\Windows\system32\Dwm. ene 
E«plorer E C: indowssERplorer.EXE 


Gaa DS i Ci\Windows\system32\ 1sass. eue 
[| | 998001E09 Cillindousssystem32*lsm. exe 
|| [220e07sc C:\Windows\System32\msdto. ene 

















图 56-29 Attach debugger 功 能 
在 附加 进程 对 话 框 中 选择 fake.exe 进 程 ， 将 其 附加 到 调试 器 ， 调 试 会 在 ntdll.DbgBreakPoint() 
API 处 暂停 ， 如 图 56-30 所 示 。 
和 mra sg 


== 
" 7273543 












NOP 





图 56-30 ntdll.DbgBreakPoint() 


在 该 状态 下 继续 运行 ， 这 样 就 会 反复 执行 设置 在 EP 处 的 无 限 循环 。 借 助 OllyDbg 调 试 器 的 
Pause 命 令 ( 快捷 键 F12 )， 让 程序 暂停 在 当前 运行 的 代码 处 ， 如 图 56-31 所 示 。 





















EC 
6R FF 

68 A8504000 
68 2C1D4000 


图 56-31 设置 EP 处 的 无 限 循环 


20401062 
0064901063 
30401665 
Ge6491D6R 
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从 图 $6-31 可 以 看 到 设置 在 EP 地 址 处 ( 401060 ) 的 无 限 循环 。 然 后 使 用 编辑 命令 ( 快捷 键 
Ctrl+E ) 将 其 恢复 为 原来 的 指令 代码 ( 558B )， 如 图 56-32 所 示 。 


00401060 B nho PE 
58401061 SBEC MOU EBP, ESP 
z SH -1 





卫 
c 







PUSH 4858R8 
PUSH 481D2C 


68 A8504000 
68 2C1D4000 






20840166A 


图 $6-32 ”恢复 为 原来 的 EP 代 码 
接 下 来 就 可 以 从 EP 代码 开始 调试 fake.exe 进 程 (PE 映像 已 被 更 换 ) T. 
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本 章 讲解 了 PE 映像 切换 技术 , 借助 这 种 神奇 的 技术 可 以 将 B 进 程 作为 “内 核 ” 加 载 到 充当 “外 
充 ” 的 A 进程 ,并 在 其 中 正常 运行 。 该 技术 不 但 作为 反 调 试 技术 应 用 于 PE 保护 器 ,也 常常 被 恶意 
代码 用 来 将 自己 伪装 成 正常 程序 。 除 了 本 章 讲解 的 实现 方法 之 外 , 还 有 其 他 实现 方法 ， 以 后 还 会 
层出不穷 。 虽 然 这 些 方法 在 具体 实现 上 有 不 同 , 但 大 家 只 要 掌握 了 前 面 讲 解 的 调试 方法 ， 都 能 轻 
松 调试 程序 。 
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wapa cadi iim 常 应 用 在 一 些 PE 保护 器 中 。 本 章 将 分 析 应 用 Debug 
其 工作 原理 及 调试 方法 。 此 外 , 还 向 各 位 讲解 、 展 示 实 际 调试 中 的 
一 步 提高 自己 的 调试 水 平 。 


Debug Blocker 是 


Blocker 技 术 的 示例 程序 ， 
常用 方法 、 技 巧 ， 大 家 党 所 这 2 


57.1 Debug Blocker 


Debug Blocker 技 术 是 进程 以 调试 模式 运行 自身 或 其 他 可 执行 文件 的 技术 。 
图 5$7-1 是 DebugMe4.exe 程 序 的 运行 画面 ， 该 程序 应 用 了 Debug Blocker 技 术 。 父 进程 
DebugMe4.exe ( PID: 1208) 是 调试 器 ， 子 进程 DebugMe4.exe ( PID: 2284) 是 被 调试 者 ， 且 


DebugMe4.exe 程 序 作为 调试 器 与 被 调试 者 时 分 别 执行 不 同 的 代码 。 


[z Pisces Explorer - - Sysintemal: WWW. vrsysintemals com { Ueonhae- PCVleonhae] 













p gh ssbTrar exe 
SuProtect. exe |< 9.0: 
E. EITras. exe 0.01 
iexpiore. sze 





? mx ChwindowesystemiZiemd, exe - debi 






Child Process 





















图 57-1 运行 DebugMe4.exe 


知 重 要 代码 运行 于 被 调试 进程 中 ， 我 们 就 必须 调试 它 。 但 又 由 于 调试 器 -被 调试 者 关系 本 身 
具有 反 调 试 功能 ， 所 以 调试 被 调试 进程 显得 比较 困难 。 








提示 
使 用 CreateProcess() API 创建 进程 时 ， sere T DEBUG PROCESS|DEBUG ONLY - 
THIS PROCESS 参数 ， 则 创建 出 的 父子 进程 会 形成 调试 器 与 被 调试 者 的 关系 。 





57.2 反 调 试 特征 
作为 一 种 反 调试 技术 ，Debug Blocker 拥 有 以 下 几 个 特征 。 
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57.2.1 ” 父 与 子 的 关系 


调试 器 与 被 调试 者 关系 中 , 调试 进程 与 被 调试 进程 首先 是 一 种 父子 关系 。 第 55 章 中 曾经 讲 过 ， 
若 同一 进程 作为 父 进程 与 子 进程 运行 时 分 别 表 现 出 不 同 的 行为 动作 , 则 调试 子 进程 时 会 比较 困难 。 


57.2.2 ”被 调试 进程 不 能 再 被 其 他 调试 器 调试 
Windows 操 作 系 统 中 ， 同 一 进程 是 无 法 同时 被 多 个 调试 进程 调试 的 。 也 就 是 说 ， 图 57-1 中 的 


子 进程 ( 被 调试 进程 PID: 2284 ) 不 能 再 附加 到 OllyDbg 调 试 器 。 若 想 调 试 被 调试 进程 ( PID : 2284 ), 
必须 先 切断 原 调试 器 与 被 调试 者 的 关系 ( 具体 方法 将 在 后 面 的 调试 练习 中 详细 说 明 )。 


57.2.3 ”终止 调试 进程 的 同时 也 终止 被 调试 进程 


强制 终止 调试 进程 (PID: 1208 ) 以 切断 调试 器 -被 调试 者 关系 时 , 被 调试 进程 也 会 同时 终止 。 
这 样 就 陷入 了 两 难 境地 : 一 方面 , 要 调试 被 调试 进程 , 必须 先 终止 调试 进程 , 切断 二 者 关联 ; 
男 一 方面 ， 终 止 调试 进程 时 被 调试 进程 也 会 终止 ， 导 致 无 法 调试 。 


57.2.4 调试 器 操作 被 调试 者 的 代码 


Debug Blocker 技 术 中 , 调试 器 用 来 操纵 被 调试 进程 的 运行 分 支 , 生成 或 修改 执行 代码 等 。 并 
且 ， 调 试 器 会 对 被 调试 进程 的 代码 运行 情况 产生 持续 影响 。 换 言 之 ,缺少 调 试 进程 的 前 提 下 , fX 
凭 被 调试 进程 无 法 正常 运行 ( 编写 程序 时 有 意 为 之 )。 


57.2.5 ”调试 器 处 理 被 调试 进程 中 发 生 的 异常 


调试 器 -被 调试 者 关系 中 ， 被 调试 进程 中 发 生 的 所 有 异常 均 由 调试 器 处 理 。 被 调试 进程 中 故 
意 触发 某 个 异常 (如 : 内存 非 法 访问 异常 ) 时 ， 若 该 异常 未 得 到 处 理 ， 则 代码 将 无 法 继续 运行 ， 
被 调试 进程 中 发 生 的 异常 必须 在 调试 器 进程 中 处 理 。 

被 调试 进程 中 发 生 异常 时 ,进程 会 暂停 ,控制 权 转 移 到 调试 进程 。 此 时 调试 器 可 以 修改 被 调 
试 者 的 执行 分 文 ， 此 外 也 可 以 对 被 调试 进程 内 部 的 加 密 代码 解密 , 或 者 向 寄存 器、 栈 中 存 人 某 些 
特定 值 等 ( 参考 图 57-2 )。 





- 处 理 异常 
-更改 EIP 
- 解码 


图 57-2” DebugMe4.exe 运 行 示意 图 

所 以 ,代码 逆向 分 析 人 员 必 须 对 调试 进程 分 析 调 试 , 确定 调试 进程 到 底 如 何 处 理 异常 。 只 有 

这 样 才能 准确 获取 被 调试 进程 的 运行 代码 。 以 上 介绍 的 几 个 特征 使 Debug Blocker 成 为 比较 有 效 的 
反 调 试 技术 之 一 ° 
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读 完 以 上 说 明 后 ， 各 位 脑海 里 一 定 会 不 禁 产 生 疑 问 :“ 调 试 DebugMe4.exe 进程 ， 

直接 分 析 其 作为 被 调试 进程 运行 时 的 代码 不 就 行 了 吗 ? 为 什么 非得 费劲 地 去 调试 它 这 
个 进程 呢 ? ”如 果 分 析 代 码 这 种 方法 可 行 ， 我 们 当然 会 这 样 做 。 但 问题 在 于 有 时 这 样 
做 是 行 不 通 的 ， 此 时 就 必须 调试 程序 作为 被 调试 者 运行 时 的 进程 ， 这 样 才能 准确 分 析 。 


57.3 ”调试 练习 : DebugMe4.exe 


调试 前 先 运 行 示 例 程序 。 如 图 57-1 所 示 ， 示 例 程序 运行 时 ， 父 进程 ( Debugger ) 会 在 控制 台 
窗口 输出 字符 串 “Parent Process”, 而 子 进程 ( Debuggee ) 会 在 消息 框 输出 字符 串 “Child Process” o 
观察 程序 运行 时 的 行为 动作 可 以 大 致 了 解 DebugMe4.exe 程 序 的 功能 。 

提示 

示例 程序 在 Windows XP, 7 (32 位 ) 系统 中 正常 运行 。 


57.4 第 一 次 调试 
先进 行 第 一 次 调试 ， 目 的 在 于 把 握 程序 的 整体 结构 。 


57.4.1 选 定 调试 的 起 始 位 置 


由 上 面 的 运行 结果 可 知 ，DebugMe4.exe 是 一 个 基于 控制 台 的 程序 , 根据 已 有 经 验 , 我 们 可 以 
很 容易 地 判断 出 它 的 调试 起 始 位 置 为 main0 函 数 。 此 外 ， 查 找 程 序 的 核心 代码 时 经 常 使 用 的 方法 
还 有 : QD 借助 程序 内 部 使 用 的 “字符 串 ”; @ 预 测 程序 中 调用 的 Win32 API 并 设置 断 点 。 


57.4.2 main() 
在 OllyDbg 调 试 器 中 打开 DebugMe4.exe 程 序 文件 ， 调 试 运行 至 main() 函 数 ， 如 图 57-3 所 示 。 


004891 


I 4899 


a8 z 
PUSH 0 





ALSE 





6A 00 — 







09401865| . InitialOuner 
0049091007 . 6A Ba PUSH à pSecurity - NULL 
58401089| . FF15 04804000| CALL DWORD PTR DS:L4099041 |L.Createttutestd 
53645163F| . S5Ca TEST ERX,ERX 

e0401011| .~ 75 17? JNZ SHORT 00490102A 00490102A 


0909401913 . FF1S 1C804969 | CREL DWORD PTR DS:[40801C]|CSetLastError 


20401019| . 50 PUSH EAX 
2040101A| . 68 EC994000 |PUSH 4099EC ASCII "Createhuteu() failed? [XZd]5n” 
B040101F| . E8 21030000 |CALL 00401345 00401345 

@0401024| . 83C4 08 ADD ESP,& 

p0401027| . 33C0 XOR EAX, EAX 

00401029 . C3 : 


RETN 
CALL DWORD PTR DS:[40801C1 
CHP EAX, 087 


99401020| > [GetLastErzor 


ag4b1aS0| . 


FF15 1C804000 
3D B7000000 














20401035] 。 74 68 JE SHORT 6840183F 898408183F 

9894910627] . ES 24000000 CALL 00401060 00401060 

595849163C| . 33C0 XOR EAX, EAX 

&O40103E| . C3 RETN 

80498103F epca LER ERX,ERX Illegal use of register 
96481041 15 DB 1&5 

20401042 证 DB 7F 

90401848 17 DB 17 

580401044 7? DB 77 CHAR “w" 


图 57-3 DebugMe4.exe 的 main0) 函 数 


main() 函数 的 代码 非常 简单 。 先 调用 CreateMutexW0O API 创 建 名 称 为 


“ ReverseCore: 


57.5 第 二 次 调试 651 


DebugMe4” 的 互 斥 体 对 象 (Mutex )。 
00401009 CALL DWORD PTR DS:[408004] ; CreateMutexW() 


CreateMutexW() API 正 常 返回 后 ， 调 用 GetLastError0 3k HX Last Error, ， 再 将 其 与 B7 
(ERROR ALREADY _ EXISTS ) 比较 。 


0040102A CALL DWORD PTR DS:[40801C] ; GetLastError() 
00401030 CMP EAX,0B7 


以 上 代码 通过 互 斥 体 对 象 来 检测 进程 是 否 重 复 运 行 .DebugMe4.exe 作 为 父 进程 运行 并 正常 创 
建 名 为 “ReverseCore: DebugMe4” 的 互 斥 体 对 象 后 ，Last Error 值 为 0。 但 其 作为 子 进程 运行 时 ， 
由 于 父 进程 中 已 经 创建 并 存在 同名 互 斥 体 对 象 ， 所 以 Last Error 值 为 B7。 利 用 这 一 原理 ， 我 们 可 
以 判断 出 DebugMe4.exe 进 程 是 以 父 进程 形式 运行 , 还 是 以 子 进程 形式 运行 。 若 以 父 进程 形式 运行 
(初次 创建 互 斥 体 对 象 ，Last Error=0 )， 则 转 到 401037 地 址 处 ; 若 以 子 进程 形式 运行 ( 存在 同名 互 
JEÍK, Last Error-B7 )， 则 转 到 40103F 地 址 处 。 


00401035 JE SHORT 0040103F ; $90040103F 

00401037 CALL 00401060 ; 00401060 

0040103C XOR EAX,EAX 

0040103E RETN 

0040103F LEA EAX,EAX ; Illegal use of register 
00401041 DB 15 

00401042 DB 7F 


由 于 程序 当前 以 父 进程 形式 运行 , 所 以 会 调用 401060 地 址 处 的 函数 。401060 地 址 处 的 函数 代码 
相当 长 , 简单 浏览 函数 代码 , 确定 图 57-1 中 出 现 的 子 进程 是 以 何 种 方式 创建 的 (后 面 将 详细 调试 )， 
如 图 57-4 所 示 。 


0451158|| . 







50 PUSH EAX 

ag4o1161||. 804C3 LER ECX, DWORD PTR SS:0ESP«24 
sa461i1565||. 51 PUSH ECX 

Bë é|]. 56 |PUSH ESI 
. 56 | PUSH ESI 
Qi ajj. 6A ea3PUSH 3 
gosal rsAjf. 

2948116B|| . 

aad46115C|| . 

2040116D|| . 

00401174|| . 

B348117S|| 。 


pProcessInfo = 0012F980 
















pSrartuplnro = 0012F990 












图 $7-4 调用 CreateProcessW0 


ER Ex XE A 401060 P žr, 88 5] ya HH] CreateProcessW() 函数 的 代码 ， 该 函数 使 用 DEBUG —-. 
PROCESS|DEBUG ONLY THIS PROCESS ( 调试 模式 ) 创建 自身 进程 。DebugMe4.exe 以 子 
进程 形式 运行 自身 进程 ， 以 Debug 模 式 运行 后 ， 父 进程 为 调试 器 ， 子 进程 为 被 调试 者 。 最 后 ， 将 
以 上 内 容 归 纳 如 下 : 

O 通过 名 为 “ReverseCore: DebugMe4” 的 互 斥 体 对 象 区 分 父 进程 与 子 进程 ; 

O 父子 进程 中 存在 执行 分 支 代 码 ( 父 进程 : 401037， 子 进程 : 40103F ); 

口 父子 进程 的 关系 为 调试 器 与 被 调试 者 的 关系 。 

我 们 通过 第 一 次 调试 大 致 把 握 了 程序 的 运行 结构 ， 下 面 仔 细 调 试 程序 的 各 项 功能 。 


57.5 第 二 次 调试 
应 用 了 Debug Blocker 技 术 的 程序 中 , 核心 代码 一 般 都 在 子 进程 ( Debuggee ) 中 运行 。 接 下 来 ， 
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我 们 操纵 基于 互 斥 体 的 条 件 分 支 ,调试 要 在 子 进 程 形式 下 运行 的 代码 ( 其实， 只 要 掌握 这 部 分 代 
码 就 可 以 了 , 其 他 代码 不 怎么 重要 ), 在 OllyDbg 调 试 器 中 按 Ctrl+F2 快 捷 键 , 重启 对 DebugMe4.exe 
的 调试 ， 然 后 在 401035 地 址 处 设置 断 点 ， 运 行 DebugMe4.ex 程 序 ， 如 图 57-5 所 示 。 


j em JE SHORT 0040103F | 
| ES 24008000 |CALL 00401060 
XOR EAX, EAX 
RETN 


LER ERX, EAX 





Debu għe4, 00461035 


20451047 ii , bir BIFFFFFFFF) 
&0461648 B F2 ^ g bit GrFFFFFFFFi 
fja481049 日 ü bit B(FFFFFFFF! 
99491048 > ES a bit BIFFFFFFFF} 
00431048 B si — 32bit TFFDFOBOLFFF) 
58481645 a 6 NULL 











在 图 57-5 右 侧 的 Registers 窗 口中 使 用 鼠标 双击 ZF, 将 其 修改 为 1。 然 后 执行 401035 地 址 处 的 下 
指令 ， 跳 转 到 40103F 地 址 处 〈 修改 ZF 标志 强制 跟踪 子 进程 的 执行 分 支 )。 下 面 看 40103F 地 址 处 的 
指令 代码 : 
40103F 8DCO LEA EAX, EAX 

执行 以 上 指令 就 会 触发 ILLEGAL INSTRUCTION ( 非法 指令 ) 异常 , 表明 指令 错误 。 在 IA-32 
用 户 手册 中 查看 LEA 指 令 的 格式 定义 ， 如 图 $7-6 所 示 。 


LEA 一 Load Effective Address 








Opcode Instruction Op/ 64-Bit Compat/ Description 
En Mode Mode 

8D/r LEA r16,m A Valid Valid Store effective address for 
min register r16. 

8D/r LEA r32m A Valid Valid Store effective address for 
min register r32. 

REXW *8D/r LEA rG4m A Valid NE Store effective address for 
min register r54. 





图 57-6 LEA (Load Effection Address， 载 入 有 效 地 址 ) 指令 格式 


LEA 指 令 的 第 一 个 操作 数 为 寄存 器 (r16/r32/r64 )， 第 二 个 操作 数 为 内 存 。 常 见 的 LEA 指 令 形 
式 如 下 : f 
LEA EAX, DWORD PTR DS:[12FF48] ; EAX — 12FF48 

执行 上 述 指令 后 ， 地 址 12FF48 就 被 存储 到 EAX 寄存 器 。 

观察 40103F 地 址 处 的 指令 (LEA EAX,EAX )， 其 第 二 个 操作 数 不 是 内 存 而 是 寄存 器 (EAX ) 
( 与 EAX 值 无 关 )， 导 致 指令 格式 发 生 错误 。 通 过 IA-32 操 作 码 映射 可 以 随意 组 合 出 类 似 的 错误 指 
令 ，CPU 无 法 正常 执行 它们 。 代 码 逆向 分 析 中 , 我 们 可 以 借助 这 些 错误 指令 故意 触发 非法 指令 异 
常 。 在 子 进程 ( 被 调试 者 ) 中 执行 40103F 地 址 处 的 错误 指令 (LEA EAX,EAX ) 时 ， 就 会 触发 非 
法 指令 异常 ， 控 制 权 将 转移 到 父 进程 (调试 器 )。 获 得 控制 权 后 ， 父 进程 会 处 理子 进程 中 发 生 的 
异常 ， 同 时 还 会 做 一 些 其 他 事情 。 在 图 $7-5 中 观察 从 401041 地 址 开始 的 指令 ， 可 以 发 现 它们 并 不 
是 正常 形式 的 指令 ( OllyDbg 无 法 反 汇编 这 些 代码 ), 看 上 去 就 像 是 加 了 密 的 代码 。 我 们 只 能 大 致 
猜想 : 父 进 程 〈 调试 器 ) 获取 控制 权 后 可 能 会 使 用 这 些 指 令 对 加 密 的 代码 解密 , 或 者 将 执行 分 支 
修改 为 其 他 地 址 。 到 这 里 , 我们 已 经 不 能 继续 采用 这 种 方式 调试 了 。 要 继续 调试 程序 ， 必 须 详细 
分 析 父 进程 ( 调试 器 ) 的 运行 代码 ， 除 此 之 外 别 无 他 法 。 第 二 次 调试 的 结果 整理 如 下 : 
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口子 进程 (被 调试 者 ) 的 运行 代码 中 存在 故意 触发 异常 的 代码 ; 

Q 后 面 代码 为 非 正常 代码 〈 加 密 代 码 、 数 据 、 无 意义 的 代码 ); 

口 必须 详细 分 析 父 进程 〈 调试 器 ) 的 运行 代码 。 

DebugMe4.exe 程 序 制作 者 有 意 这 样 安排 , 使 代码 北向 分 析 人 员 无 法 顺利 分 析 子 进程 ( 被 调试 
者 ) 的 运行 代码 。 


57.6 第 三 次 调试 


下 面 详 细 分 析 父 进程 ( 调试 器 ) 中 的 401060 函 数 。 重 启 OllyDbg 调 试 器 ， 进 入 401060 函 数 ， 
调试 运行 到 40115C 地 址 处 。 


0040115C LEA EAX,DWORD PTR SS:[ESP+10] 


00401160 PUSH EAX ; -pProcessInfo 

00401161 LEA ECX,DWORD PTR SS:[ESP+24] 

00401165 PUSH ECX ; -pStartupInfo 

00401166 PUSH ESI ; -CurrentDir 

00401167 PUSH ESI ; -pEnvironment 

00401168 PUSH 3 ; -CreationFlags - DEBUG PROCESS | 


DEBUG ONLY THIS PROCESS 


0040116A PUSH ESI ; -InheritHandles 
0040116B PUSH ESI ; -pThreadSecurity 
0040116C PUSH ESI ; -pProcessSecurity 
0040116D LEA EDX,DWORD PTR SS: [ESP-*3D8] 

00401174 PUSH EDX ; -CommandLine 
00401175 PUSH ESI ; -ModuleFileName 


00401176 CALL DWORD PTR DS:[40800C] ; CreateProcessW() 


ASCII “ 父 进 程 ND” 
printf() 


004011A9 PUSH 409A58 
004011AE CALL 00401345 


x. 


`. 


004011C3 PUSH -1 ; -Timeout 

004011C5 LEA ECX,DWORD PTR SS: [ESP«6C] 

604011C9 PUSH ECX -pDebugEvent 
004011CA CALL DWORD PTR DS:[408024] ; WaitForDebugEvent() 


`. 


401176 地 址 处 调用 了 CreateProcessW( API， 以 调试 模式 运行 自身 进程 ( DebugMe4.exe )。 然 
后 在 4011CA 地 址 处 调用 WaitForDebugEvent() API， 等 待 被 调试 进程 发 生 Debug 事 件 。 
WaitForDebugEvent() APIE Y. All F : 


BOOL WINAPI WaitForDebugEvent( 
__Out LPDEBUG EVENT lpDebugEvent, 
. in DWORD dwMilliseconds 
) ; 出 处 ，MSDN 


若 调用 WaitForDebugEvent() API， 将 在 指定 时 间 内 ( dwMilliseconds ) 等 待 被 调试 进程 发 生 
Debug 事 件 ( 异常 也 是 一 种 Debug 事 件 ), 被 调试 进程 发 生 异常 时 ,将 返回 WaitForDebugEvent() API, 
然后 , 相关 异常 信息 就 会 填充 到 ljpDebugEvent 指 针 所 指 的 DEBUG_EVENT 结 构 体 。 下 面 仔细 看 看 
DEBUG_EVENT 结 构 体 。 
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typedef struct _DEBUG EVENT { 
DWORD dwDebugEventCode; 
DWORD dwProcessId; 
DWORD dwThreadId; 
union í 
EXCEPTION DEBUG INFO Exception; 
CREATE THREAD DEBUG INFO CreateThread; 
CREATE PROCESS DEBUG INFO CreateProcessInfo; 
EXIT THREAD DEBUG INFO ExitThread; 
EXIT PROCESS DEBUG INFO  ExitProcess; 
LOAD DLL DEBUG INFO LoadDll; 
UNLOAD DLL DEBUG INFO UnloadDll; 
OUTPUT DEBUG STRING INFO DebugString; 
RIP INFO RipInfo; 
} u; 
} DEBUG_EVENT, *LPDEBUG_EVENT; 


// dwDebugEventCode 

#define EXCEPTION DEBUG EVENT 
#define CREATE THREAD DEBUG EVENT 
#define CREATE PROCESS DEBUG EVENT 
#define EXIT THREAD DEBUG EVENT 
Xdefine EXIT PROCESS DEBUG EVENT 
define LOAD DLL DEBUG EVENT 
define UNLOAD DLL DEBUG EVENT 
define OUTPUT DEBUG STRING EVENT 
#define RIP EVENT 出 处 ，MSDN 


dwDebugEventCode 成 员 用 来 指示 Debug 事 件 类 型 ， 共 有 9 种 Debug 事 件 。u 成 员 保 存 着 与 各 
Debug 事 件 对 应 的 结构 体 (u 成 员 为 union 类 型 ， 将 9 个 结构 体 联 合 在 一 起 )。 比 如 ， 
dwDebugEventCode=1 ( EXCEPTION DEBUG EVENT ) 时 ，uException 成 员 会 被 保存 起 来 ; 
dwDebugEventCode-3 ( CREATE PROCESS DEBUG EVENT ) 时 ，u.CreateProcessInfo 即 被 保存 
下 来 。 如 图 57-7 所 示 ， 继 续 调 试 程序 到 4011CA 地 址 处 。 


(O 00 - OY Ui i$ UJ NJ I 


6R FF PUSH Timeout = INFINITE 
SD4C24 6C LER ECX, DWORD PTR SS: [ESP+6C] 
51 PUSH ECX 


TEST EAX, 
BF84 28010000 | JE 00401200 80401300 
eo4nit08]|. se35 288B4666 | HOU EsI,Dwgge"f TR Ds:[468628] | kernel32.lriteProcessltenory 


lu 
j[DS:t884888241-771E6463 (kgeffel32.UaitForDebugEuent) 


SaieFSDS|oa 00 60 ec | 50 HA Be O5 aA O0 Gà B86 806 ga GO 60 
| eai2FoES|GO AA GG Go AA OO HA QQ GO AA GO G6, QQ OO 60 pQ 
ip 5812F3F3| 58 aa OD 88 GO AA GB OD AA G OB 88| 88 DO GO O8 





图 57-7 调用 WaitForDebugEvent0) 前 的 DEBUG_EVENT 结 构 体 


pDebugEvent 所 指 地 址 为 12F9D8。 
提示 一 n r T TO ."—— 
pDebugEvent 所 指 地 址 随 系 统 环境 不 同 而 不 同 , 请 在 自己 的 系统 环境 中 记 下 它 所 指 
的 地 址 ， 继 续 跟踪 调试 就 行 了 。 





按 F8 键 ( StepOver ) 执行 4011CA 地 址 处 的 指令 ,调用 WaitForDebugEvent() API， 然 后 查看 
12F9D8 地 址 中 存储 的 值 。 
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如 图 $7-8 所 示 ，dwDebugEventCode 值 为 3 ( CREATE_PROCESS_DEBUG_EVENT )， 它 是 被 
调试 进程 运行 时 最 初 发 生 的 事件 。 继 续 往 下 调试 接 即 可 见 到 图 57-9 所 示 的 条 件 分 支 代码 。 






图 57-8 ”调用 WaitForDebugEvent( API 后 的 DEBUG_EVENT 结 构 体 


0@04011F0 
Bo4011F4 
4811F7 


eo 









MOU EAX, DWORD PTR SSrtESP*681 

. 83F8|| chP ERx,1 

orsell one 00401 2c m EE a2 
CHP DUORD PTR SS:[ESP+741, C9902010 
JNZ 004012C5 89849012CS 
MOU EAX, DUORG PTR SS: [ESP+801 DebugMe4. 00400000 
CMP EAX, 40103F 
JNZ 00401299 


[ESP+68] = [12F908] = dwDebugEventCode 

















00401217]]| . 900401299 


图 $7-9 ”比较 dwDebugEventCode 值 


4011F0 地 址 处 的 MOV 指 令 中 , [ESP+68] 为 12F9D8。 将 该 值 传送 到 EAX 寄存 器 后 , 再 在 4011F4 
地 址 处 的 指令 中 将 其 与 1 ( EXCEPTION_DEBUG_EVENT ) 比较 。 由 于 当前 dwDebugEventCode 
值 为 3， 所 以 将 执行 4011F7 地 址 处 的 JNZ 指 令 ， 跳 转 到 4012C0 地 址 处 ， 如 图 57-10 所 示 。 


ee4eizce||» 83F8|| 

00401203 .7 
28401205 
864012c3|| . 












CMP EAX,S 
JE SHORT 80481314117 ee 
MOU EAX, DWORD PTR SS:[ESP*761 
MOU ECX, DWORD PTR SS: [ESP*6C1 















aa4a12C0|| . PUSH 10002 ContinueStatus - DBG CONTINUE 
G804612D2|| . PUSH ERX Threadld = 3 

PUSH ECX ProcessId = ?FFDF000 

CALL DWORD PTR DS:[4080201 Cont inueDebugEvent 


PUSH &à 

LER EDX, DWORD PTR SS:LESP+6C] 
PUSH à 

PUSH EDX 

CALL 66464FB9 00404FB0 
ADD ESP, 8C 
PUSH -1 [wa = INFINITE 








LER EAX, DWORD PTR SS: LESP*6C 1 
PUSH ERX 

CALL DWORD PTR DS:[4080241l 
TEST EAX, EAX 

JNZ 004011F0 004011F0 


图 $7-10 ”比较 dwDebugEventCode 值 


9040812ED || 。 
G64812F1 || 。 
904012F2 ||, 
0@04012F3|. 
904012F6/ . 


pDebugEvent = 0@012F9D8 
WaitForDebugEvent 











在 4012C0 地 址 处 再 次 将 EAX ( dwDebugEventCode ) 值 与 5 ( EXIT_PROCESS_DEBUG_ 
EVENT) 比较 。 由 于 当前 EAX 值 为 3， 所 以 跳 过 4012C3 地 址 处 的 正 指令 ， 继 续 执行 。 在 4012D4 
地 址 处 调用 ContinueDebugEvent() API， 继 续 运行 处 于 暂停 状态 的 被 调试 进程 。 然 后 调用 4012F2 
地 址 处 的 WaitForDebugEvent() API， 进 入 等 待 状态 ， 等 待 被 调试 进程 发 生 Debug 事 件 。 再 次 发 生 
Debug 事 件 时 ， 就 转 到 图 57-9 中 的 4011F0 地 址 处 ( 4011F0~4012FA 地 址 间 的 代码 为 循环 代码 )。 观 
察 图 57-9 中 4011F0~4011F7 地 址 间 的 指令 代码 可 知 ， 该 循环 用 来 等 待 来 自 被 调试 者 的 
EXCEPTION DEBUG _EVENT(1) 异 常 。 只 要 和 集中 调试 这 种 情况 就 可 以 了 ， 最 简单 的 方法 就 是 ， 
先 在 4011FD 地 址 处 设置 断 点 (F2)， 再 按 F9 键 运行 。 被 调试 者 中 发 生 EXCEPTION DEBUG - 
EVENT(1) 时 , 循环 就 会 准确 停 在 4011FD 地 址 处 。 另 外 一 种 方法 是 ， 在 4011FD 地 址 处 设置 条 件 记 
3K ( Conditional Log ) 断 点 ( SHIFT+F4 )， 输 出 用 户 日 志 ， 然 后 根据 条 件 停止 运行 。 这 一 方法 有 
助 于 把 握 整 个 程序 的 工作 原理 ,使 程序 调试 更 加 轻松 , 唯一 的 不 足 是 调试 耗费 时 间 较 长 ,后 面 会 
详细 介绍 。 
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57.7 第 四 次 调试 


下 面 借助 OllyDbg 的 CLBP (条件 记 录 断 点 ) 功能 分 析 4011F0~4012FA 地 址 间 循 环 代码 的 执行 
流程 。 首先 输出 被 调试 者 中 发 生 的 所 有 Debug 事 件 。 重启 OllyDbg 调 试 器 后 , 通过 Go To Expression 
(快捷 键 CTRL+G ) 命令 转 到 4011F0 地 址 处 ， 如 图 57-11 所 示 。 


8B1D| HOU EBX, DWORD PTR DS: [4080081 
SD9Bi LEA EBX, DWORD PTR DS:[EBX1 
DWORD PTR SS:[ESP+681 


[aori | | 





kernel32.SetThreadConte 






604011E4 
20401 1ER 

















O4011F4 
GG4011F7 
Oo42811FC 
0808401205 






ag4aicaee pi 

G8401212 1 
na4ai2iv ||. I ok. | Cancel |! 
0401210 3 
na491221 || 全 : [reoveemsid = NULL 





— Humber e preteen 
ee4oi223||. | en 1j| PUSH 14 BytesToRead = 14 (20.) 








图 57-11 转 到 4011F0 地 址 
光标 移 到 4011F0 地 址 处 后 ， 按 SHIFT+F4 快 捷 键 ， 打 开设 置 CLBP 对 话 框 ， 如 图 57-12 所 示 。 










Decode value of expression as: [assumed by expression -] 
Never On condition ^ Always Pass count (dec.] 


| Pause prograrn: © C [5 — 
|. Log value of expression: D e © 
| Log function arguments: t c £" 








lf program pauses, pass following commands to plugins: 








图 $7-12 在 4011F0 地 址 处 设置 CLBP 


图 $7-12 即 为 设置 CLBP 的 对 话 框 。 

Condition 项 用 来 输入 所 需 条 件 ( 该 项 可 选 )。 在 图 57-12 中 输入 条 件 表达 式 ， 检测 
dwDebugEventCode 是 否 为 1 ( EXCEPTION DEBUG EVENT ) ( 12F9D8 是 在 图 57-7 中 获取 的 
DEBUG_EVENT 结 构 体 的 起 始 地 址 。DWORD PTR DS:[12F9D8] 表 示 DEBUG _EVENT.dwDebug- 
EventCode 成 员 )。 

Explanation 与 Expression 项 用 来 输入 要 输出 至 Log 窗 口中 的 内 容 。 

将 Pause program 项 设置 为 Never 时 ,程序 将 会 一 直 执 行 到 最 后 。 将 Log value of expression 项 设 
置 为 Always 时 ， 总 是 输出 日 志 ， 不 受 指定 条 件 的 约束 。 
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在 设置 CLBP 对 话 框 中 进行 相应 设置 后 ， 单 击 OK 按 钮 ， 即 在 相应 地 址 处 ( 4011F0 ) 设置 好 
CLBP， 显 示 为 粉红 色 ， 以 便 与 红色 的 断 点 区 分 开 来 。Breakpoints 和 窗口 的 Active 栏 显示 出 图 57-12 
et ad (参考 图 57-13 )。 然 后 执行 OllyDbg 调 试 器 中 的 “Run” 命 令 (F9), 使 
DebugMe4.exe 正 常 运行 ， 输 出 图 57-14 所 示 的 运行 日 志 。 


GO4011E4 





8B1D| MOU EBX, DWORD PTR DS:[408008] 


kernel32.SetThreadContest 





DB4B1 IER SD9B| LEA EBX, DWORD PTR DS:LEBX1 








图 57-13 ”设置 在 4011F0 地 址 处 的 CLBP 


观察 图 57-14 中 的 输出 日 志 可 以 看 到 ,被 调试 进程 中 共 发 生 3 次 EXCEPTION_DEBUG EVENT(1) 
日 志 的 大 部 分 为 LOAD DLL DEBUG EVENT(6) )。 


g4gi5sc 


| QB4611F6 
B dariFe 
| 884811F8 
G04611F8 
| 094911F0 
”seasllFe 
4B11FB 


804911F8 
agai iFa 


pagai iF 
204311 FA 
j| G04611FB8 
G24811F8 
084911F0 
| 0904911F6 
B94811F8 
B04811F8 
B84811F8 
O542ilFü 
BB4811F8 


094911F0 


aedaiiFa 
804911F0 
Ba4911FR 
9084911F0 








提示 


a|COMD: WFDET) 


994911F9| C 
8064911F0|C 


B64311F8| C 

















Program entry point 

Module C:\Windows\system32\MSCTF.dLl1 
COND: ÚFDE() = G0006007 

COND: WFDECG = EGGB68B6 
COND: WFDELUO) = @G0Ə900006 
COND: WFOEL) = @Q200006 
COND: UFDE() = BO5D8865 
COND: WFDOE(O = 80900006 
COND: lWFDE() = Ə0909006 
COND: WFOEL aeonaaoae 


FDE() = 00302006 
WFDE() = agen 


COND: WFDEL 8900090806 
COND: WFDE() 80900006 
COND: BFDE() ga90p006 
8909006005 
9090900096 
9089000056 
enəppaa6 
8090060006 
265868556 
86308886 
BoadnacOaÉ. 
aoanaone 
8090090096 
8090090606 
aoanoop6 
8006009002 
9080099006 
aaoaaaoe 
naagean2 
S0000002 
8089808092 
8090060904 
90900004 


COND: WFDEL) 
COMD: ÚFDE() 
COND: WFOE(CG 
COND: WFDEL) 
COND: WFDE( 
COND: WFDE() 
COND: UFDEI) 
COND: WFDEG 
COND: WFDE() 
COND: lUFDE( 
COND: WFDE() 
: WFDEL 

WFDEL) 
r UFDEO 
: WFDEL) 
z WFDEG) 
COND: WFDEt) 
COND: WFDEL) 
COND: MFDEL) 


WoW HOH HoH Ho HUH H H HU HN oH HHH o] og HU H H 


如 图 57-12 所 示 ， 在 设置 CLBP 对 话 框 中 将 Pause program 设置 为 Never, 
DebugMe4.exe 程序 就 会 正常 运行 到 最 后 ， 而 不 会 在 中 间 暂 停 。CLBP 是 一 个 非常 有 用 
的 功能 ， 它 让 程序 调试 更 加 方便 。 和 希望 各 位 尝试 在 不 同 地 址 上 设置 它 ， 并 设置 各 种 不 
同 条 件 详细 了 解 、 掌 握 该 功能 。 
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57.8 第 五 次 调试 


下 面 集中 调试 EXCEPTION DEBUG EVENT(1) 事 件 。 重启 OllyDbg 调 试 器 , 在 4011F0 地 址 处 
设置 CLBP， 如 图 $7-15 所 示 。 

















Condition: 


[DwaRD PTR DS:[12F9D8] == 1 z] | 
Explanation: Expression: 


we —— >] = [DWORD PTA Ds [12F9D8] z] | 
Decode value of expression as: [Assumed by expression +] 
—— A n . ° N e 
Pass count [dec.) | 


Fr 一 一 


| Never 
Pause program: K. 
Log value of expression: C 
Log function arguments: c 





If program pauses, pass following commands to plugins: 





图 57-15 设置 CLBP 选 项 


在 Pause program 项 中 点 选 On condition ， 满 足 指定 条 件 时 ， 程 序 将 暂停 。 在 Log value of 
expression 项 中 点 选 On condition ， 只 有 满足 指定 条 件 时 ， 才 会 输出 运行 日 志 。 


57.8.1 系统 断 点 


设置 好 CLBP 后 , 按 F9 键 执行 OllyDbg 的 “RUN” 命令。dwDebugEventCode=1 ( EXCEPTION_ 
DEBUG EVENT ) 时 , 程序 将 停 在 4011F0 地 址 处 。 继续 跟踪 运行 至 4011FD 地 址 处 (参考 图 57-16 )。 


83F8 81 2 
BFSS5 c3epoooo JNZ 904012C8 ge4e1i2ca 
817C24 74 iDeoooca || CHP DWORD PTR ZŠ 

6FSS BRaGGOOO JN2 884812C5 

888424 S8080888 uj 
3D 3F1049000 
eres 7C985868 gyro 
884424 18 px, DUORD P EESP+101 
6R pn j 

















00401205 
ntdll.7720E68E 











96401299 





i 






pBytesRead = NULL 

















6R 14 | BytesToRead = 14 (20.) 
809424 RBB36606 ` PS: (ESP+3R01 
s2 PUSH EDX Buffer = 00220003 


PUSH 401041 
PUSH ERX 


pBaseRddress = 401041 
hProcess = 80880001 


68 411845080 


















$ . š pa 408014] ReadProcessMenory 
d 4 Ll 
[Stack SS:L@012F9DSJZ09000001 

ERX=29066061 


|| Ə9g12F5DS[6T 00 wo wo B3 OU Uv Pea 
| 0012F9E3 
jJ 0912F9F6 ception ? 

Adress |00 ee ea @0|................ 


8612F974| Gaaocopan 
0012F978| 7FFDEG69 
2012F97C| 868601D9 
0012F980| 60568664 





图 57-16 ”比较 ExceptionCode 
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图 57-16 的 代码 中 用 到 的 内 存 地 址 如 下 所 示 : 


[ESP+68] = [12F9D8] = DEBUG EVENT.dwDebugEventCode 

[ESP+74] = [12F9E4] = DEBUG EVENT.EXCEPTION DEBUG INFO.EXCEPTION RECORD. 
ExceptionCode 

[ESP+80] = [12F9F0] = DEBUG EVENT.EXCEPTION DEBUG INFO.EXCEPTION RECORD. 
ExceptionAddress 


这 意味 着 当前 被 调试 进程 在 772DE60E ( ExceptionAddress ) Jt Ht 4b  #E T 80000003 
( ExceptionCode-EXCEPTION BREAKPOINT ) 异常 。 查 看 772DE60E 地 址 处 的 指令 可 以 看 到 ， 它 
是 ntdll.dll 模 块 的 系统 断 点 。 程 序 以 被 调试 者 身份 运行 时 ， 必 定 会 触发 该 异常 ， 如 图 $7-17 所 示 。 









JL SHORT 7 了 720E622 
CMP BYTE PTR SS: LEBP-191, BL 
JNZ SHORT 772DE622 

MOU DWORD PTR SS: LEBP-41, EBX 


JMP SHORT 772DE622 
XOR EAX, EAX 

INC EAX 

RETN 


图 57-17 系统 断 点 


系统 断 点 并 不 是 我 们 关心 的 ， 按 F9 键 继续 运行 程序 
提示 
EXCEPTION DEBUG INFO 与 EXCEPTION RECORD 结构 体 的 定义 如 下 : 


typedef struct EXCEPTION DEBUG INFO { 
EXCEPTION RECORD ExceptionRecord; 
DWORD dwFirstChance; 

} EXCEPTION DEBUG INFO, *LPEXCEPTION DEBUG INFO; 








typedef struct EXCEPTION RECORD { 


DWORD ExceptionCode; 
DWORD ExceptionFlags; 
struct EXCEPTION RECORD *ExceptionRecord; 
PVOID ExceptionAddress; 
DWORD NumberParameters; 
ULONG PTR ExceptionInformation[EXCEPTION MAXIMUM PARAMETERS]; 
) EXCEPTION RECORD, *PEXCEPTION RECORD; 出 处 : MSDN 


DEBUG EVENT 结构 体 的 起 始 地 址 为 pDebugEvent ( 12F9D8 ), pDebugEvent > 
dwDebugEventCode-EXCEPTION DEBUG EVENT(1) 时 ， 有 如 下 关系 : 

ExceptionCode=pDebugEvent+C=[12F9D8+C]=[12F9E4]=80000003 

ExceptionAddress=pDebugEvent+18=[12F9D8+18]=[12F9F0]=772DE60E 

对 于 上 述 结 构 体 (DEBUG EVENT、EXCEPTION_DEBUG INFO, EXCEPTION - 
RECORD ) 的 主要 成 员 ( dwDebugEventCode、ExceptionCode、ExceptionAddress ) 与 
图 57-16 中 实际 内 存 缓冲 间 的 映射 关系 ， 大 家 刚 开 始 可 能 觉得 比较 难 理解 。 希 望 各 位 
仔细 查看 实际 结构 体 的 定义 ,熟悉 并 掌握 其 结构 


57.8.2 EXCEPTION_ILLEGAL_INSTRUCTION(1) 
程序 运行 再 次 停 在 4011F0 地 址 处 ， 如 图 57-18 所 示 。 


660 


第 57 章 ”调试 练习 4: Debug Blocker 




































































| Ba4811F: +i Exception 
|] 564911F7 BFSS CSOBBGBO JNZ B84812C8 Code 
|Jeeamiiro||. | 817c24 74 10566659 || cmp DWORD PTR sS [coeegneiD 
|]0e4212e5|| .,| asF35 BRD86BB9 JHz B84812C5 
oe4nizep||. | 8B3424 soeenooe MOU EAX, DWORD PTR[SS: 
]eesmiziz||. | 30 sF184006 CHP EAX, 40103F : 
| aa4B1217|| .| aFsS 7concaao JNZ 88481299 
|| aeB46121D|| . | 8B4424 10 MOU ERX,DWORD PTR[SS: yÉsP101 
(| eeaai221||. | 6n ee PUSH @ 
e048i2z23|| . |6n 14 PUSH 14 
]ee4ei225||. |8t9424 neaseceo LER EDX, DWORD PTRIAS: LESP«SRna1 
Be4eizac||. |sz PUSH EDX 
| an4ei22D||. | ee 41104880 PUSH 481841 
aada1232|| . | sa PUSH EAX 
|] sa4a1233|| .| FF15 14884800 CALL DWORD PY [408014] 











* lal 


ack Sš:[0012F9DS31=G6080006001 













GaizFsEgS|aBG BB ag oo HA OB GO A 
Q@G12FƏF8 DO ao oO 0A 60 OO OO O VO Wd 00 OB OO 00 ........... 
12FAGS| 00 GO GA OO GO OD HO OB 68 QU HG HA OB OO HA OO ss 
d GGIZFAIS| 00 G8 88 GO GG OG OO OO GA GA GO OO OG OO GA 00|........... 









Exception 
Adress 





图 57-18 ”40103F 地 址 处 发 生 EXCEPTION_ILLEGAL INSTRUCTION 异 常 


如 图 57-18 所 示 ，ExceptionCode=C000001D ( EXCEPTION ILLEGAL INSTRUCTION ), 
ExceptionAddress-40103F 。 这 表明 被 调试 进程 的 40103F 地 址 处 发 生 f EXCEPTION 
ILLEGAL INSTRUCTION 错 误 。 第 二 次 调试 中 ， 我 们 已 经 知道 40103F 地 址 处 的 指令 为 LEA 
EAX,EAX ( 见 图 57-3、 图 57-5 )， 这 是 条 错误 指令 。 被 调试 进程 遇 到 40103F 处 的 错误 指令 时 ， 就 
会 触发 非法 指令 异常 。 图 57-18 代 码 中 有 3 个 条 件 分 支 代 码 ， 如 下 所 示 : 


004011F0 
004011F4 
004011F7 
004011FD 


00401205 
0040120B 
00401212 


00401217 
0040121D 


MOV 
CMP 
JNZ 
CMP 


JNZ 
MOV 
CMP 


JNZ 
MOV 


EAX, DWORD PTR SS: [ESP+68] 

EAX, 1 ; 1) dwDebugEventCode 

004012C0 

DWORD PTR SS:[ESP+74],C000001D ; 2) ExceptionCode == 
C000001D 

004012C5 

EAX,DWORD PTR SS: [ESP«80] 

EAX,40103F ; 3) ExceptionAddress 
40103F 

00401299 

EAX,DWORD PTR SS: [ESP-*10] 


若 3 个 条 件 都 满足 ， 则 执行 40121D 地 址 处 的 指令 代码 ( 只 要 有 一 个 条 件 不 满足 ， 就 跳 转 到 其 
他 地 方 ), 由 此 可 见 , 第 一 个 EXCEPTION ILLEGAL INSTRUCTION 异 常 发 生 后 ,就 会 执行 40121D 
地 址 处 的 指令 代码 。 并 且 出 现 了 一 段 很 明显 的 代码 , 用 来 处 理 被 调试 进程 中 的 异常 并 再 次 运行 它 
( 稍 后 将 详细 分 析 )。 从 图 57-14( 第 四 次 调试 ) 中 可 以 知道 ，EXCEPTION DEBUG EVENT 共 发 
生 了 3 次 ， 所 以 后 面 应 该 还 有 1 次 EXCEPTION_DEBUG EVENT。 接 下 来 按 F9 键 继续 运行 。 


57.8.3 EXCEPTION ILLEGAL INSTRUCTION(2) 


第 三 个 EXCEPTION_DEBUG_EVENT 发 生 于 401048 地 址 处 ，ExceptionCode 与 之 前 相同 ， 为 
EXCEPTION ILLEGAL INSTRUCTION。 由 图 57-5 可 知 ，401048 地 址 处 的 指令 并 非 正常 形式 的 
IA-32 指 令 ， 看 上 去 像 是 加 密 后 的 代码 。 图 57-19 中 ，401212~401217 地 址 处 的 CMP/JNZ 指 令 组 合 
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(条 件 分 支 语句 ) 使 程序 执行 跳 转 到 401299 地 址 处 。 也 就 是 说 ， 发 生 第 二 个 EXCEPTION | 
ILLEGAL INSTRUCTION 异 常 后 , 会 运行 401299 地 址 处 的 指令 代码 。 在 此 状态 下 运行 OllyDbg 调 
试 器 的 “RUN”( F9 ) 命令 将 弹出 消息 框 ， 显 示 字 符 串 “Child Process”"， 如 图 57-1 所 示 ( 表明 被 
调试 进程 得 以 正常 运行 )。 








DWORD PTR SS: [ESP+68] 






|| sg4611Fd 






















CMP ERX,1 Exception 
1 ap4511F7|| .| BFSE ceaancasa JNZ 884812C8 Code 
|| aaaatiFD|| . 4 74 |Deeaace || CHP DWORD PTR SS4: 955851D 
28481285|| .| BFSS BRRGBBOB JHz B84812C5 ; 
Bo481izOB||. | 5E3424 Socencas MOU EAX, DWORD PTR|SSA Paon 
ea4ei2i2||. | 3D 3F104005 CHP ERX,48188F , 
98491217|| -~| aFəs vCaancaa JNZ 88481299 
SB4424 10 MOU EAX, DWORD PTR|SS:(ÉSP+101 
6n 88 PUSH à 
ER 14 PUSH 14 
SD9424 RHüesesbo LER EDX,DWORD PTR|/S:LESF+3R0O1 
EZ PUSH EDX 
68 41164006 PUSH 481841 
Sg FUSH EAX 
FF1& 14804006 CALL DWORD PyÁ [408014] 
ES: [081 2F90S]-00000001 












|| 6512FSs É Peat 
||eeisrsEs|em me oo ga oa oa oa pafas 16 48 c Ç 
jal2F?F8|ü8 oa go gö OB GO BB GOD 
| g612FRB3 ma e ae Ge o0 cB Ga oa Ba 0G Bo a 
||eeizrFais|ea ea ee wo eo oa oa Go Ge Ən 00 GO Q 









ccc 
C Go 
C ° ° 
e 
° 
m 
ce 





图 $7-19 401048 地 址 处 发 生 EXCEPTION ILLEGAL INSTRUCTION 


综合 以 上 分 析 得 知 ， 被 调试 进程 中 共 发 生 2 次 EXCEPTION ILLEGAL miguel 
之 后 程序 分 别 跳 转 到 调试 器 进程 中 的 40121D 、401299 地 址 处 ， 继 续 执 行 代码 。 接 下 来 ， 
试 这 2 处 代码 就 能 准确 把 握 程序 的 工作 原理 。 


57.9 第 六 次 调试 
下 面 开 始 调试 DebugMe4.exe 进 程 的 核心 代码 ( 40121D、401299 )。 


57.9.1 40121D (第 一 个 异常 ) 


如 前 所 述 ， 发 生 第 一 个 EXCEPTION ILLEGAL INSTRUCTION 异 常 时 ， 将 执行 40121D 地 址 
处 的 代码 。 下 面 先 调试 该 地 址 处 的 代码 。 重 启 OllyDbg 调 试 器 ( 快捷 键 CtrI+F2 )， 在 40121D 地 址 
处 设置 断 点 ， 再 按 F9 刍 运行。 程序 停 在 40121D 地 址 处 ， 继 续 跟踪 调试 到 401233 地 址 处 ， 遇 到 调 
用 ReadProcessMemory() API 的 代码 ， 如 图 57-20 所 示 。 
























SB4424 MOU ERX,DWORD PTR SS:[ESP+181 
PUSH à 

PUSH 14 

R| LER EDX,DUORD PTR SS:EESP-*3n81 
PUSH EDX 

4| PUSH 481841 

PUSH ERX 











88401221 
00401225 
DO401z25 
Ba4a122C 
08401220 
00401232 
0040123 


pButesfead = NULL 
BytesToResd = Ej 28.1) 


Euffer = Ba12FDaS8 
pEaseRddress -[481041] 
hProcess = Øøgől 







图 57-20 ”调用 ReadProcessMemory() API 


662 第 57 章 ”调试 练习 4: Debug Blocker 





在 401233 地 址 处 调用 ReadProcessMemory() API， 从 被 调试 进程 的 401041 地 址 处 读 取 14H 字 节 
大 小 ( 即 20 个 字 节 ) 的 数据 ( 待 读 取 的 地 址 区 域 为 图 57-21 中 黑色 粗 线 框 内 的 部 分 )。 


09401602A | > FF1S iC88484 CALL DWORD PTR DS: [48881C] [BetLastError 
00401056 | . 3D B7000000 | CHP EAX, 857 










DB4616s5 | . JE SHORT 80840103F DB6461B3F 

20401627 | . ES 2480008008 |CALL 60401060 00401060 

BB4B163C 

00401065E 

eua 3E ER? Illegal use of register 
CHAR 'w" 
CHRR '? 
CHRR '? 
CHAR 'j 
CHAR 'c 
CHAR '? 





图 $7-21 待 读 取 的 地 址 区 域 


如 图 57-21 所 示 ， 触 发 第 一 个 EXCEPTION ILLEGAL INSTRUCTION 异 常 的 指令 ( LEA 
EAX,EAX ) 位 于 40103F 地 址 处 , 而 401041 地 址 正好 位 于 其 下 ( 被 加 密 的 代码 ), 使 用 StepOver ( 快 
捷 键 F8 ) 命令 执行 完 调 用 ReadProcessMemory() API 的 指令 后 ， 在 401240 地 址 处 见 到 XOR 解 码 循 
环 ( 用 7F 进 行 XOR 操 作 )， 如 图 57-22 所 示 。 


. 68 411040600 
. 58 
. FF1S 1488488 






00401220 
00401232 
00401234 









PUSH 401841 pBasefddress = 401041 
PUSH EAX hProcess = NULL 
CALL DWORD PTR DS:1468814J ReadProcessMenory 
XOR EAX, EAX 
JMP SHORT 60401240 00401240 

LEA ECX, DWORO PTR DS: LEG 
SW PUR BYTE PTR SSItESP*ERG« 398 2 mue 





88481230 
00401240 








00401248 INC EAX - [12FDO8 

00401249 || . | 83F8 14 CHP ERX,14 

0040124C || .^-72 F2 JB SHORT 804012480 00401240 
4 gd 

Stack SS 并 5512F055 

Jumps from 00401236, B040124C 












(5 SE TF F2 BF ES 3F ZF| IE PF BD 6ñ| Ofw ?OR OEO" j 
8o Ba GA 00| BA O0 GA 的 | 89 OB OB BO |c?0............ 


图 57-22 ”解码 循环 


首先 调用 ReadProcessMemory0 API， 将 读 取 的 指令 代码 (处 于 加 密 状 态 ) 放 入 缓冲 区 
( I2FD08-12FDIB ), 然后 运行 解码 循环 , 解密 缓冲 区 中 的 指令 代码 , 查看 缓冲 区 , 如 图 57-23 所 示 。 

从 图 中 看 到 , 解密 后 的 指令 代码 像 是 程序 运行 命令 的 一 部 分 。 解密 后 的 指令 代码 中 ， 先 引用 
“DebugMe4” 字 符 串 地 址 ( 409A08 ) 的 指令 ， 然 后 12FDOF 地 址 处 又 出 现 了 LEA EAX,EAX 非 法 指 
S, 从 12FD11 地 址 开始 ,指令 代码 看 上 去 好 像 又 发 生 了 错乱 。 图 57-22 中 的 解码 循环 执行 完毕 后 ， 
再 调用 WriteProcessMemory() API 将 解码 后 的 指令 代码 覆 写 到 被 调试 进程 的 同一 地 址 空间 
( 401041~401054 )， 如 图 57-24 所 示 。 
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9934081248 XOR BYTE PTR SS:[ESP+ERX+3981,7F 
90481249 INC EAX 
88461249 CMP EAX, 14 
JE SHORT 60401240 00401240 
MOU EDX, DWORD PTR SS: ESP*187 
PUSH 8 -pBytesliritten = NULL 
x PUSH 14 -BytesTolrite = 14 (2B.) 
a401256 LER ECX, DWORD PTR SS: [ESP+3A6] 
O04G1250 PUSH ECX -Buffer = 12FD88 
DO4CI25E PUSH 481841 -pBaseRddress = 481841 
PUSH EDX -hProcess = üBBagnai4 














gaizrüis 


图 57-24  WriteProcessMemory() API 


从 被 调试 进程 的 角度 看 ， 加 密 地 址 区 域 (401041~401054 ) 已 经 被 解密 了 。 
提示 

在 图 57-24 中 调用 执行 401264 地 址 处 的 WriteProcessMemory() API 后 ， 被 调试 进 
程 的 401041 地 址 区 域 如 图 57-25 所 示 。 











wa481GSF sSpca LEA ERX, EAX Illegal use of register 

























ündolüd4i 6A aeg PUSH B 
60401043 63 05904000 PUSH 405A02 UNICODE "DebusMed4” 
ou418048 anca LEA EAX, EAX Illegal use of register 







B8040194R SA 48GB6HOB FFlS |CALL FRR 1lSFF:G068D040 Far call 
90461851 SBB RL,81 
20401954 INC EAX DebugMe4. 00401048 


06401554 ADD BL, AL 


图 $7-25 ”解码 后 的 指令 代码 





继续 调试 。 如 图 57-26 所 示 ，401266~401295 地 址 间 的 指令 代码 用 于 修改 被 调试 进程 的 EIP 值 
(准确 地 说 ， 是 主线 程 上 下 文 的 EIP 值 )。 

在 40127E 地 址 处 调用 GetThreadContext() API， 读 取 被 调试 进程 的 主线 程 的 CONTEXT 结 构 
体 ， 并 将 读 到 的 数据 信息 放 入 其 第 二 个 参数 pContext 指 示 的 缓冲 区 (pContext=12FA38 )。 

当前 被 调试 进程 的 EIP 地 址 为 40103F( 发 生 第 一 个 EXCEPTION_ILLEGAL INSTRUCTION: 
常 的 地 址 )。 401284 地 址 处 的 ADD 指 令 将 当前 EIP 值 加 2, T£ ApContextEip, 此 时 其 值 为 401041。 
这 样 就 处 理 了 被 调试 进程 40103F 地 址 处 发 生 的 EXCEPTION_ILLEGAL INSTRUCTION 异 常 。 
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MOU ECX, DWORD PTR S5:[ESP+14] 
LEA EAX, DWORD PTR SS: [ESP+CS] 
PUSH EAX 

PUSH ECX 

MOU DWORD PTR S5S:CESP+D61, 10007 
CRLL EDI 

MOU EAX, DWORD PTR SS:[ESP4141 
ADD DWORD PTR SS:LESP+1801,2 
LEA EDX, DWORD PTR SS:[ESP+C8] 
PUSH EDX 
PUSH EAX 


0401266 
, [20840126A 
00461271 
884601272 
880451278 
89840127E 
08491260 
00401284 
90401280 







kernel32.GetThreadContent 








FFDS [|CALL E : n 1 ene 132, Sec T 
80401297 JMP SHORT 00401205 X 00401205 


~ Tio be 
8012FB02| 09 6G DB OG| 868 OO 96 ü| 20 BB GA 89i98 86 BB DO |................ 


图 57-26 ”修改 被 调试 进程 的 EIP 
提示 


Æ Eip 值 为 40103F， 对 应 指令 为 LEA EAX,EAX， 该 指令 长 度 为 2 个 字 节 。 所 以 


将 Eip 值 加 2 后 ， 即 可 跳 过 非 正 常 指 令 LEAEAX,EAX。 最 后 ， 控 制 权 再 次 转移 到 被 调 
试 进程 后 ， 就 会 执行 401041 地 址 处 的 正常 指令 代码 (解密 后 的 指令 代码 )。 也 就 是 说 ， 


被 调试 进程 中 发 生 的 异常 得 到 了 处 理 。 


在 图 57-26 中 401295 地 址 处 调用 SetThreadContext() API， 向 Eip 中 放 入 新 值 ( 401041), 然后 跳 


转 到 4012C5 地 址 处 继续 执行 ， 如 图 57-27 所 示 。 


MOU EAX, DWORD PTR SS: LESP+79] 
MOU ECX, DWORD PTR SS:tESP*6C1 
PUSH 10002 

PUSH EAX 

PUSH ECX 

CALL DWORD PTR DS: [408020] 
PUSH 68 

LEA EDX,DUORD PTR SS:fESP*6C1 
PUSH à 

PUSH EDX 

CALL GO404FBO 00404FB0 
ADD ESP, GC 
PUSH -1 




















aB4812C5 
B8401209 
00401200 
89401202 
00481202 
60401204 
80940120A 
26040120C 
804912E0 









ContinueStatus = DBG CONTINUE 
ThreadId 



















Timeout = INFINITE 












004012ED || . LER EAX, DWORO PTR SS:[ESP*6C1 
904912F1 jj. £ PUSH EAX 











pDebugEvent = OB12F9D8 


aoaeicra || . = || TEST EAx, EAX 
884912FR JNz 004011F9 





804811F8 





图 57-27 调用 WaitForDebugEvent() API 


在 4012D4 地 址 处 调用 ContinueDebugEvent0 API， 使 处 于 暂停 状态 的 被 调试 进程 再 次 


运行 起 


来 (被 调试 进程 运行 401041 地 址 处 的 代码 )。 然 后 再 调用 4012F2 地 址 处 的 WaitForDebugEvent() 


API， 进 人 等 待 状态 ， 等 待 被 调试 进程 发 生 Debug 事 件 。 


综 上 所 述 ， 被 调试 进程 中 发 生 第 一 个 EXCEPTION ILLEGAL INSTRUCTION 异 常 时 ， 就 会 
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执行 调试 进程 中 的 处 理 代码 (40121D ). 为 了 帮助 各 位 更 好 地 理解 上 述 过 程 ， 我 将 40121D 地 址 处 
代码 的 执行 流程 整理 如 下 : 

1. 普通 异常 (被 调试 者 /被 调试 进程 ) 

首先 ， 在 被 调试 进程 的 40103F 地 址 处 ， 由 LEA EAX,EAX 指 令 触发 EXCEPTION ILLEGAL _ 
INSTRUCTION 异 常 。 此 时 被 调试 进程 暂停 将 控制 权 转 移 给 调试 进程 ( 更 准确 地 说 ， 返 回调 试 
进程 中 调用 的 WaitForDebugEvent() API )。 

2. 解码 循环 (调试 器 ) f 

调试 器 从 被 调试 进程 读 取 401041~401054 内 存 区 域 中 的 数据 ， 并 使 用 XOR (7F ) 指令 解码 ， 
将 解码 后 的 实际 代码 覆 写 到 被 调试 进程 的 同一 块 内 存 区 域 ， 如 图 57-28 所 示 。 


P me lu 





ContinueDebugEvent ( ) 


WaitForDegubEveni í ) 
SetihreadContext() 








2. 解码 循环 3. 修改 EIP 4. 继续 运行 被 调试 进程 
(401041 ~ 401054) (40103F -> 401041) 
1. 普通 异常 
EE: R40103F LEAEAx Ex Ds 
| í x L ER 






图 57-28 40121D 代 码 执 行 流程 

3. 修改 EIP (调试 器 ) 

修改 被 调试 进程 的 代码 执行 地 址 (EIP: 40103F—401041 )。 
提示 一 -一 
若 不 执行 该 操作 ， 再 次 运行 被 调试 进程 时 ， 会 再 次 执行 当前 EIP 地 址 处 (40103F ) 
的 异常 触发 指令 (LEA EAX,EAX )， 不 断 重 复 前 面 的 过 程 ， 陷 入 无 限 循环 。 





4. 继续 运行 被 调试 进程 〈 调 试 器 ) 
调试 器 处 理 完 40103F 地 址 处 发 生 的 异常 后 , 会 使 被 调试 进程 再 次 运行 起 来 。 然 后 进入 “待机 ” 
模式 ， 继 续 等 待 来 自 被 调试 进程 的 异常 。 


请 注意 ! 被 调试 进程 要 运行 的 代码 地 址 为 401041。 
大 家 理解 以 上 这 些 内 容 后 再 细 细 品读 全 部 讲解 ， 相 信 会 对 各 位 理解 代码 工作 原理 有 所 帮助 。 
57.9.2 401299 (第 二 个 异常 ) 


发 生 第 二 个 EXCEPTION_ILLEGAL INSTRUCTION 异 常 时 ， 程 序 将 执行 401299 地 址 处 的 代 
码 。 首 先 在 401299 地 址 处 设置 断 点 。 在 图 57-27 中 调用 WaitForDebugEvent() API ( 401299 地 址 处 ) 
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的 代码 处 按 F9 键 继续 运行 ,程序 就 会 在 401299 地 址 处 暂停 ( t, nT LLEA01299 3E Lb TE BP PST Ua s 
再 按 F9 键 运行 到 该 处 )， 如 图 59-29 所 示 。 








> 30 481848088 CMP EAX, 401048 EAX : 





Encept ionfiddres QE 46104975 


















V» ?75 25 nv SHORT 00401205 

. 8B5424 18 || Hou EDX, BWORD PTR SS: LESP*181 

. 6A Ba PUSH & -pByteslritten = NULL 
. 6H 82 PUSH 之 -BytesTollrite = 2 


. SDSC24 AGAZOA|| LEA ECX, DWORD PTR SS:LESP*SRO1 
PUSH ECX 
PUSH EAX 


PUSH EDX 













图 57-29 ”调用 WiriteProcessMemory() 


从 401299 地 址 开始 继续 跟踪 调试 ， 在 4012BC 地 址 处 见 到 调用 WriteProcessMemory( API 的 代 
码 。401299 地 址 处 的 EAX 寄存 器 表示 被 调试 进程 中 发 生 异 常 ( EXCEPTION ILLEGAL |. 
INSTRUCTION ) 的 地 址 ( 401048 ) ( 如 图 57-19 )。 由 图 57-25 可 知 ， 当 前 被 调试 进程 的 401048 地 
址 处 的 指令 为 LEA EAX,EAX， 被 调试 进程 执行 该 非法 指令 时 会 再 次 触发 异常 。 在 图 57-29 的 
4012BC 地 址 处 调用 WriteProcessMemory( API, 将 被 调试 进程 的 401048 地 址 处 的 2 个 字 节 ( SDCO, 
LEAEAX,EAX ) 修改 为 681C (PUSH XXXX 指 令 )。 最 后 ， 被 调试 进程 相应 地 址 区 域 中 的 代码 如 
图 57-30 所 示 。 
























Ba848183F 
ga481041 


DCA 
6A e8 

68 BS9nB400n0 
68 1C9R4003Ə 


LEA EAX, EAX 
PUSH 6 

PUSH 469008 
PUSH 4@981C 


Illegal use of register 
Style = MB OKiMB RPPLMODRL 
Title = "Debualte4" 

Test = "Child Process” 















SET en on PUSH ü hOwner = NULL 
B84B104F FF15 1C8140808 |CALL DWORD PTR DS:[48811CJ |UMessageBont 
09401055 c3 RETN 





图 57-30 ”解码 后 的 被 调试 进程 的 代码 


可 以 看 到 ，401048 地 址 处 被 修改 了 2 个 字 节 ， 其 后 的 指令 代码 也 正常 解析 出 来 。 最 后 看 到 被 
调试 进程 中 调用 MessageBox() API 的 代码 。 

JE = = E == 
虽然 只 修改 了 2 个 字 节 ,但 是 图 57-25 5 E] 57-30 中 的 反 汇 编 代 码 有 很 大 不 同 。 这 
是 因为 ，OllyDbg 的 反 汇 编 器 会 将 图 57-25 中 40104A 地 址 处 的 9A 解析 为 操作 码 (其 
实 它 是 PUSH 指令 的 立即 数 的 一 部 分 )。 像 图 57-25 一 样 ， 代 码 逆向 分 析 中 将 代码 从 中 
间断 裂 的 现象 称 为 “代码 对 齐 错乱 " ， 它 常 被 视 为 一 种 反 调 斌 技术， 应 用 于 PE 保护 器 ， 
用 来 增加 代码 逆向 分 析 的 难度 。 


接 下 来 ， 在 OllyDbg 中 使 用 StepOver 命 令 ( 快捷 键 F8 ) 执行 完 调 用 WriteProcessMemory() API 
的 指令 ,程序 跳 转 到 4012C5 地 址 处 ， 如 图 57-29 所 示 。 然 后 调用 ContinueDebugEvent() 继 续 运 行 被 
调试 进程 ,再 调用 WaitForDebugEvent() 进 入 “待机 ”模式 ， 等 待 被 调试 进程 发 生 异 常 。 以 上 过 程 
与 前 面 图 57-27 中 介绍 的 是 一 样 的 。 
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ia l U L À; i= = s. Z= 
请 各 位 注意 ,第 一 次 异常 与 第 二 次 异常 的 处 理 方法 不 同 。 第 一 次 异常 发 生 在 40103F 
地 址 处 ， 处 理 时 修改 被 调试 进程 的 Eip 值 ， 使 执行 跳 过 异常 触发 指令 代码 。 而 第 二 次 
异常 发 生 在 401048 地 址 处 ， 处 理 时 先 直 接 将 ( 发生 异常 的 地 址 处 的 ) 非 正常 代码 修改 
为 正常 代码 ， 然 后 再 运行 。 


最 后 ， 被 调试 进程 正常 运行 ， 弹 出 消息 框 ， 如 图 $7:1 所 示 。 为 了 帮助 各 位 更 好 地 理解 401299 
处 代码 的 执行 流程 ， 我 将 上 述 内 容 归 纳 如 图 57-31 所 示 。 








2. 代码 补丁 3. 继续 运行 被 调试 进程 
(401048 ~ 401049) 


1. 普 通 异 常 





图 57-31 401299 代 码 的 执行 流程 

1. 普通 异常 (被 调试 者 ) 

首先 ， 在 被 调试 进程 的 401048 地 址 处 由 LEA EAX,EAX 指 令 触 发 EXCEPTION ILLEGAL - 
INSTRUCTION FE% o 

2. aT GRR) 

调用 WriteProcessMemory() API， 将 681C 覆 写 到 被 调试 进程 的 401048~401049 内 存 区 域 (2 个 
字 节 )。681C 是 PUSH 指令 的 一 部 分 ， 被 调试 进程 的 最 终 代 码 如 图 57-30 所 示 。 

3. 继续 运行 被 调试 进程 〈 调 试 器 ) 

处 理 完 异 常 后 ， 调 试 器 会 再 次 运行 被 调试 进程 ， 然 后 进入 “待机 ”状态 ， 等 待 被 调试 进程 发 
生 异 常 。 

提示 一 一 
被 调试 进程 要 运行 的 代码 还 在 401048 地 址 处 ， 只 是 由 之 前 的 异常 触发 指令 履 写 成 
了 正常 指令 。 


我 们 详细 分 析 了 调试 进程 的 代码 ， 理 解 了 DebugMe4.exe (S/F ) 进程 的 工作 原理 。 希 望 各 
位 自己 调试 分 析 ， 把 握 各 部 分 代码 的 含义 。 


57.10 第 七 次 调试 
对 一 个 应 用 了 Debug Blocker 技 术 的 程序 进行 代码 道 向 分 析 的 过 程 中 , 有 时 需要 直接 调试 它 的 
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子 进程 (被 调试 进程 )。 子 进程 已 经 处 于 被 父 进程 调试 的 状态 时 ， 我 们 该 如 何 调试 子 进程 呢 ? 实 
际 上 有 许多 调试 方法 ， 下 面 将 它们 分 为 静态 与 动态 两 大 类 向 各 位 介绍 。 


57.10.1 静态 方法 


首先 详细 分 析 调 试 进程 ,得 到 解码 代码 , 然后 直接 修改 程序 的 PE 文件 或 进程 内 存 ， 从 而 达到 
用 OllyDbg 调 试 器 调试 的 目的 ,第 二 次 调试 失败 的 原因 就 在 于 ,被 调试 进程 要 运行 的 代码 ( 401041 ) 
处 于 加 密 状 态 ( 见 图 57-5 )。 先 将 这 些 代 码 解 码 ( 见 图 57-30 )， 再 将 解码 后 的 代码 履 写 到 原 区 域 ， 
这 样 就 能 轻松 调试 程序 了 。 具 体操 作 过 程 中 ， 我 们 既 可 以 直接 使 用 Hex Editor 修 改 DebugMe4.exe 
文件 ， 也 可 以 直接 使 用 调试 器 修改 进程 内 存 。 下 面 将 采用 “使 用 OllyDbg 调 试 器 直接 修改 进程 内 
存 ” 的 方法 ,使 程序 可 以 正常 调试 。 借 助 第 二 次 调试 中 使 用 的 方法 ， 将 程序 调试 运行 到 40103F 
地 址 处 。 

借助 调试 器 的 汇编 功能 (空格 键 ), 将 40103F 地 址 处 的 LEA EAX,EAX 指 令 修 改 为 NOP， 以 防 
该 处 发 生 异 常 ， 如 图 57-32 所 示 。 











00401025 55451535F 
88481837| . 00401060 
00401063C kernel32.BaseThreadInitThunk 












an4o1042 
260401044 TE 
8084010645 ES 
00401046 3F 
GO401847 YF 
0040810843 F2 
Ga4a12042 BF 
















图 57-32 ”将 40103F 地 址 处 的 指令 修改 为 NOP 


提示 一 
401035 地 址 处 有 JE 40103F 指令 (2 个 字 节 )， 也 可 以 将 其 修改 为 JMP 401041 (2 
个 字 节 )， 直 接 跳 过 40103F 地 址 处 的 LEA EAX;EAX 指令 。 


然后 ， 参 考 图 57-30， 借 助 OllyDbg 调 试 器 中 的 编辑 功能 ( Ctrl+E )， 修 改 401041~401054 地 址 
区 域 中 的 指令 代码 ， 如 图 57-33 所 示 。 











图 57-33 ”用 解码 后 的 代码 覆 写 401041 地 址 区 域 
最 后 ， 修 改 后 的 代码 如 图 57-34 所 示 。 
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JE SHORT 00408183F 00406103F 
00401060 






00461035] ., 74 08 
85481D37| . ES 24000000 CALL 00401060 
8849102C| . 33C0 XOR EAX, EAX 

8848183E| . C3 















0040103 
00401104A sa NOP 
BO461B41 eR oa PUSH 8 





0808401043 63 639A4009 PUSH 489RB8 UNICODE "DebugMe4” 
06401048 63 1C3A40909 PUSH 4G9R1C UNICODE "Child Process" 
8940810940 ER ss PUSH à 

20401 04F FF15 10214000 |CALL DWORD PTR DS: [458111 USER32. HessageBonl 
98481855| . C3 RETN 


图 $7-34 ”修改 后 的 代码 


修改 代码 后 即 可 顺利 调试 程序 。 要 修改 的 代码 非常 简单 时 ， 使 用 以 上 方法 会 非常 方便 。 但 是 
要 修改 的 代码 比较 长 ， 又 比较 复杂 ， 且 分 布 在 程序 各 处 时 ， 上 述 方法 使 用 起 来 就 不 怎么 方便 了 。 


57.10.2 ”动态 方法 


与 静态 方法 相 比 ， 动 态 方 法 更 有 意思 。 使 用 动态 方法 的 大 致 顺序 如 下 : 
(1) 使 用 OllyDbg 调 试 父 进程 ( 调试 器 )， 调 试 运行 到 要 分 析 的 地 方 〈 或 者 子 进程 代码 完成 解 
码 的 地 方 ); I 
(2) 在 子 进程 (被 调试 进程 ) 中 要 分 析 的 代码 处 设置 无 限 循环 ; 
(3) 将 父 进 程 〈 调试 器 ) 从 子 进 程 (被 调试 进程 ) 中 分 离 (Detach ); 
(4) 附加 OllyDbg 调 试 器 到 子 进 程 。 
下 面 分 别 讲解 各 步骤 。 
选择 合适 的 位 置 
首先 要 选择 从 子 进 程 ( 被 调试 进程 ) 的 哪 一 部 分 开始 调试 , 尽量 选择 EP 处 。 我 们 已 经 在 第 一 
次 与 第 二 次 调试 中 分 析 了 程序 的 EP 代 码 。 
子 进 程 (被 调试 进程 ) 中 的 加 密 代码 解码 后 ， 从 代码 的 起 始 地 址 (401041 ) 开始 调试 会 比较 
好 ， 为 此 ， 需 要 先 将 程序 调试 运行 到 父 进程 相应 的 代码 部 分 ( 解码 循环 )。 首 先 按 Ctrl+F2 快 捷 键 
重启 OllyDbg 调 试 器 ， 在 401233 地 址 处 设置 断 点 ， 然 后 按 F9 键 运行 程序 。 
希望 各 位 记 住 图 $7-35 中 ReadProcessMemory() API 的 hProcess 参 数值 ( 子 进 程 句柄 -0x4C )， 后 
面 的 调试 会 再 次 用 到 。 接 下 来 的 代码 对 子 进程 (被 调试 者 ) 的 加 密 代码 解码 , 前 面 已 经 分 析 过 了 。 
an4oizas||. JNZ 00401205 00401205 
9884912951] 。 MOU EAX, DWORD PTR SS:[ESP+801 
481Z1l2|| 。 CHP ERX,40183F 
Bnad361217 || . JNZ 880481299 00401299 
cd 5 KON FAN, MURA PTR 85: [ESP+10] 
i FUSH i4 
ga4ai22E|]. LER EDX, DWORD PTR SS:[ESP+3R01 
e PUSH EDX Buffer = 0812FD08 


PUSH 481041 Address 
PUSH EAX == š 


































pEytesRead = NULL 
BytesToRead = 14 (20.) 

















RLI 
XOR EAX, EAX 


图 $7-35 401233 地 址 处 的 代码 


二 
T SERE ( 被 调试 者 ) 中 发 生 第 一 个 EXCEPTION ILLEGAL INSTRUCTION 异常 
时 ， 父 进程 (调试 器 ) 就 会 执行 40121D 处 的 代码 ( 参考 第 六 次 调试 )。401233 地 址 恰 
好 位 于 该 地 址 之 下 ， 选 择 这 里 是 为 了 方便 说 明 。 
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继续 调试 至 4012D4 地 址 处 ， 见 到 调用 ContinueDebugEvent() API 的 代码 ， 如 图 57-36 所 示 。 























9804012C5 
9a4012C93|| . 
094012CD|| . 
804012D2/1| 。 
564012D3|]. 


MOU EAX, DWORD PTR SS: [ESP+70] 
MOY ECX, DWORD PTR SS:[ESP+6C] 
PUSH 10002 eStatus = DBG CONTINUE 
PUSH ERX | 3 = 248 

PUSH ECX 
















z DWORD PTR DS:[40880821 
PUSH 68 

LER EDX, DWORD PTR SS:[ESP+6C] 
PUSH 8 

PUSH EDX ntdll.KiFastSystemCallRet 
CALL aa4n4FBa aa4a4rBa 

ADD ESP, BC 
PUSH -i Timeout = INFINITE 
LEA EAX, DWORD PTR SS:[ESP+6C] 
PUSH EAX pDebugEvent = 00000248 
CALL DWORD PTR DS: [408024] WaitForDebugEvent 

TEST EAX, EAX 
JNZ 00408011F 08004011F 


图 57-36 ”跟踪 调试 到 调用 ContinueDebugEvent() API 的 代码 处 


此 时 ， 子 进程 (被 调试 进程 ) 中 的 大 部 分 加 密 代码 已 经 被 解码 ，EPP 中 的 地 址 值 也 被 修改 为 
401041 ( 见 “ 第 六 次 调试 ” )。 请 各 位 记 住 ContinueDebugEventO API 的 2 个 参数 值 ( ThreadId-248 , 
ProcessId-578 )， 后 面 调试 会 再 次 用 到 。 

提示 

hProcess. ThreadId. ProcessiId 的 值 随 调试 环境 不 同 而 不 同 。 


084012DR || . 
90@4912DC || . 
004012E0|| . 
GB4G12E2|| 。 
004012E3]|| 。 
GO4012E8|| . 
004012EB|| . 
BG4812E0 || . 
004912F1|| 。 
004012F2/|. 
eeaei2re|l. 
ae4gi2FR|| . 








父 进程 (调试 器 ) 代码 的 作用 到 此 为 止 。 进 行 分 离 操作 前 ， 还 有 一 些 事情 要 处 理 。 

设置 无 限 循 环 

图 57-36 中 ,调用 ContinueDebugEvent() API 后 ， 子 进程 (被 调试 进程 ) 就 会 再 次 运行 ， 这 样 
就 无 法 将 其 附加 至 OllyDbg 调 试 器 。 因 此 ,需要 先 在 子 进程 ( 被 调试 进程 ) 的 代码 运行 地 址 处 ( EIP ) 
设置 无 限 循 环 。 但 是 ,应 该 采用 什么 方法 才能 将 指定 代码 写 人 子 进程 ( 被 调试 者 ) 内 存 呢 ?通过 
前 面 的 学 习 我 们 已 经 知道 , 调试 器 可 以 随意 操作 被 调试 者 的 内 存 。 调 试 示例 中 ， 子 进程 ( 被 调试 
进程 ) 被 父 进 程 (调试 器 ) 调试 ， 而 父 进 程 又 正在 被 OllyDbg 调 试 器 调试 ， 它 们 之 间 的 关系 如 图 
57-37 所 示 。 








T 


图 57-37 OllyDbg-DebugMe4 ( 父 进程 ) 与 DebugMe4 ( 子 进程 ) 
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所 以 ,我 们 可 以 先 借助 OllyDbg 向 DebugMe4( 父 进程 ) 进程 编写 代码 ， 修 改 DebugMe4 进 程 
( 子 进 程 ) 代码 ， 然 后 再 运行 。 这 一 原理 用 文字 叙述 起 来 显得 有 些 复杂 ,但 实际 操作 非常 简单 。 
如 图 57-38 所 示 ， 借 助 OllyDbg 的 编辑 功能 ( 快捷 键 Ctrl+E )， 向 4012D2 地 址 处 写 入 2 个 字 节 的 无 限 
循环 代码 ( EBFE )。 











> 8B4424 70 MOU EAX, DWORD PTR SS:[ESP+701 

8B4C24 6C MOU ECX, DWORD PTR $5:0ESP*6C1 
68 02000100 PUSH 18882 

deett 





ASCII 





[os E 
. 52 UNICODE [ ae 
Cea 





ü 
8sco 
ares rol Í Keep size 


mi ac] OK | Cancel | 
图 $7-38 ”无 限 循环 代码 














然后 ， 借 助 汇编 功能 ( 快捷 键 Space ) 向 4012D4~4012E4 地 址 区 域 写 入 汇编 代码 ， 如 图 53-39 
所 示 。 








Jane 


SHORT 00401202 
PUSH à 


ü 


00401202 


08401202] > EE FE 
. AG dritten = NULL 








964812D6| . 
Ba4Ol2D3! . 
Be4912DD! . 


124000 


= DebugMe4. 00401202 
411640880 


401841 








PUSH 481841 














4912ER 
B940612EB 


jnecut = INFINITE 
B04612ED 





DBàa4012F1 pebusEuent = 0088080248 
GO4Q12F2 bitForDebusEoent 
&e4oizrF8| | Í Fill with NOF's Assemble| || Cancel | | 

eeagizFn 


paaiira 


图 57-39 ”输入 设置 无 限 循环 的 代码 


我 们 借助 OllyDbg 的 汇编 功能 对 父 进 程 ( 调试 器 ) 进行 了 简单 的 汇编 编程 ， 编 写 的 汇编 代码 
调用 WriteProcessMemory() API， 将 无 限 循环 代码 ( 图 57-38 ) 设置 到 子 进程 ( 被 调试 进程 )。 
提示 





向 4012E2 地 址 输入 PUSH hProcess 指令 时 ，hProcess 要 取 图 57-35 中 记 下 的 值 ， 
不 同 环境 中 该 值 有 所 不 同 。 并 且 ， 不 同系 统 环境 中 kernel32.WriteProcessMemory() API 
的 地 址 也 不 同 ， 所 以 向 4012E4 地 址 输入 调用 该 API 的 指令 时 ， 不 要 直接 输入 “CALL 
771C859F”， 而 要 输入 CALL WriteProcessMemory， 这 样 OllyDbg 调试 器 会 直接 从 当前 
系统 中 获取 kernel32. WriteProcessMemory() API 的 实际 地 址 。 由 于 不 需要 再 运行 父 进 程 
代码 ， 所 以 可 以 像 上 面 这 样 直接 履 盖 原 代码 。 





在 图 57-39 中 使 用 StepOver 命 令 ( 快捷 键 F8 ), 从 当前 EIP( 4012D4 ) 地 址 开始 调试 运行 到 4012E4 
地 址 处 ( 对 应 指令 为 CALL WriteProcessMemory() )， 即 在 子 进程 的 401041 地 址 处 设置 好 了 无 限 循 
环 。 设 置 好 无 限 循 环 后 ， 接 下 来 就 要 运行 子 进程 。 先 使 用 与 前 面相 同 的 方法 ， 在 4012E9~4012F8 
地 址 区 域 中 输入 汇编 代码 ， 如 图 $7-40 所 示 。 
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aa4al2D2 

pEytesliritten = NULL 
BstesTollrite = 2 

PUSH 481252 Buffer = Debugħe4. 00401202 
PUSH 481841 Address = 401041 5 
PUSH 4C hProcess = 00000904C (window) 


JMP SHORT 86421202 
PUSH 9 
PUSH 2 





324812n2 













964912E4| . M 
Status = DBG CONTINUE 


= 248 
578 






Er | E 
Iv. Fil with NOP's e 
图 57-40 ”输入 子 进程 ( 被 调试 进程 ) 运行 代码 


如 图 57-40 所 示 ， 跟 踪 运 行 到 4012F8 地 址 处 ， 处 于 暂停 状态 的 子 进程 ( 被 调试 者 ) 就 会 再 次 
运行 起 来 (设置 在 EIP 地 址 处 (401041) 的 无 限 循环 会 不 断 运行 )。 


提示 








CII "WaitForDebugEvent() faile 
401345 






图 57-40 中 ，4012EE 与 4012F3 地 址 中 的 ThreadId, ProcessId 参数 要 取 图 57-36 中 
记 下 的 值 。 在 4012F8 地 址 处 输入 调用 ContinueDebugEvent() API 的 代码 时 , 要 输入 “CALL 
kernel32.ContinueDebugEvent” 。 





进行 分 离 操作 之 前 的 所 有 准备 到 此 结束 。 

分 离 

2 个 进程 形成 “调试 器 -被 调试 者 ”关系 后 ， 这 种 关系 一 般 会 持续 到 其 中 一 个 进程 终止 。 但 是 
从 Windows XP 系统 开始 ， 微 软 为 我 们 提供 了 DebugActiveProcessStop() API， 借 助 该 API 可 以 将 被 
调试 者 从 调试 器 中 分 离 出 来 。DebugActiveProcessStop() 函 数 原型 如 下 : 


BOOL WINAPI DebugActiveProcessStop( 
__in DWORD dwProcessId 
); 出 处 : MSDN 


再 次 使 用 OllyDbg 的 汇编 功能 ， 在 4012FD~401302 地 址 间 编 写 汇编 代码 ， 如 图 57-41 所 示 。 

在 图 57-41 中 继续 调试 运行 到 401302 地 址 处 ， 执 行 CALL DebugActiveProcessStop 指 令 ， 这 样 
子 进程 (被 调试 者 ) 就 从 父 进 程 (调试 器 ) 中 分 离 出 来 ， 此 时 父 进 程 ( 调试 器 ) - 子 进程 (被 调 
试 进程 ) 关系 就 断 开 了 ， 二 者 成 为 彼此 独立 的 进程 。 


D sSsesopoo F 78 





E 
9040135098 


0040130B 
0940135C 


图 57-41 输入 分 离 代码 
附加 
重新 运行 新 OllyDbg 进 程 ， 附 加 到 DebugMe4.exe 进 程 ( 子 进程 )。 
如 图 57-42 所 示 ， 调 试 在 ntdll.DbgBreakPoint() 中 暂停 。 由 于 它 是 个 系统 断 点 ， 按 F9 键 跳 过 继 
续 运 行 。 当 前 DebugMe4.exe 进 程 就 陷入 401041 地 址 处 的 无 限 循 环 。 按 F12 键 暂停 后 ，OllyDbg 就 
在 当前 运行 的 代码 处 暂停 ， 如 图 57-43 所 示 。 
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3544 ntdlt.DbgEreakPoint 











eset. | 
wow p CC Cs — — —À 


HEX +00 E 88] 


[^ Keep size 













Cancel 4 | 
图 $7-43 ”恢复 401041 地 址 处 的 指令 代码 


如 图 $7-43 所 示 ， 将 401041 地 址 处 的 指令 代码 恢复 为 原 代 码 (6A00 ) (删除 无 限 循环 )。 然 后 
参考 图 57-34， 将 401048 地 址 处 的 错误 指令 (8DC0 ) 修改 为 原 指 令 ( 681C )， 如 图 57-44 所 示 。 


0040801041 


















BO4B1G4F FF15 10814000 |CALL DWORD PTR DS: [<&US USER32.HessageBoslU 
08401055 
adg4giacée 
0840601557 
B461888 
00401052 








图 57-44 ”恢复 为 原 指令 代码 


图 57-44 显 示 的 是 恢复 后 的 正常 代码 。 使 用 前 面 介绍 的 方法 即 可 调试 应 用 了 Debug Blocker 技 
术 的 程序 的 子 进程 。 


57.11 小 结 


Debug Blocker 技 术 是 一 种 相当 繁琐 的 反 调 斌 技术。 即便 是 结构 非常 简单 的 DebugMe4.exe 示 
例 程序 , MH T Debug Blocker 技 术 之 后 ,调试 也 变 得 非常 困难 , 仅 调 试 方法 的 说 明 就 占据 了 相当 
大 的 篇 幅 。 虽 然 说 明 很 长 ， 但 从 原理 来 看 其 实 并 不 复杂 ， 即 先 强制 割断 调试 器 -被 调试 者 关系 ， 
然后 附加 到 OllyDbg 中 调试 。 只 要 理解 了 这 一 原理 , 调试 起 来 就 不 会 有 什么 大 问题 Debug Blocker 
技术 中 有 意思 的 是 , TEE (被 调试 者 ) 先 故 意 触发 异常 , 然后 由 父 进程 ( 调试 器 ) 处 理 该 异常 ， 
并 且 父 子 进程 运行 时 紧密 联系 在 一 起 ， 这 就 给 调试 带 来 很 大 困难 。OllyDbg 调 试 器 提供 了 CLBP 
功能 , 借助 该 功能 , 我 们 可 以 把 握 程 序 代码 的 运行 结构 。 该 方法 对 代码 逆向 分 析 有 非常 大 的 帮助 。 
本 章 选 取 的 练习 示例 简单 又 有 意思 ， 且 具有 一 定 代表 性 , 希望 各 位 亲自 调试 ， 相 信 会 非常 有 助 于 
提高 大 家 的 代码 逆向 分 析 水 平 。 


2 R 语 


1. 创新 与 经 验 〈 围 棋 与 象棋 — 编程 与 代码 逆向 分 析 ) 
下 面 跟 各 位 聊 聊 创新 与 经 验 。 
“世上 有 围棋 神童 ， 却 不 会 有 象棋 神童 ? ” 


不 论 哪个 领域 ， 要 想 成 为 专家 ， 必 须 拥 有 丰富 的 经 验 以 及 自身 独特 的 想法 ( 创意 )， 也 就 是 
需要 兼 具 创新 意识 与 经 验 。 毫 无 疑问 ,它们 都 是 非常 重要 的 。 但 是 某 些 特定 领域 会 更 侧重 其 中 一 
方面 (这 并 不 是 说 哪 一 个 好 或 不 好 ， 只 是 说 二 者 具有 不 同 特点 )。 

围棋 与 象棋 

e 围棋 

首先 说 围棋 。 围 棋 中 ,我 更 关注 下 棋 的 方法 。 刚 开始 时 棋盘 一 片 空 白 ， 双方 在 棋盘 上 分 别 放 
和信 棋子, 游戏 不 断 进行 。 所 以 围棋 是 一 种 从 无 到 有 的 创造 性 游戏 , 棋 手 在 空白 的 地 方 创造 着 什么 。 
围棋 手 拥 有 无 限 自由 ， 棋 子 放 在 哪儿 、 怎 么 放 ， 每 人 每 次 下 棋 都 不 同 。 李 昌 久 、 李 世 石 这 样 的 围 
棋 高 手 从 小 (10 岁 左右 ) 就 表现 出 很 高 的 天 赋 ， 他 们 主宰 着 围棋 界 ， 代 表 围 棋 界 的 最 高 水 平 。 围 
棋 高 手中 ， 比 李 昌 久 、 李 志 石 棋 龄 更 长 (30 年 以 上 ) 的 大 有 人 在 ， 从 经 验 上 讲 ， 他 们 不 亚 于 李 昌 
Ra. #1 4 A. 但 围棋 大 赛 中 , 像 李 昌 久 、 李 志 石 这 样 的 围棋 天 才 几 乎 总 是 能 够 战胜 所 有 对 手 ， 
原因 就 在 于 , 决定 一 个 人 围棋 水 平 的 不 是 他 已 有 的 经 验 , 而 是 他 本 身 具 有 的 创新 能 力 。 也 就 是 说 ， 
围棋 天 才 们 下 棋 时 总 有 自己 的 想法 , 能 够 下 出 自己 的 特点 , 这 就 是 他 们 能 够 战胜 其 他 棋 手 的 秘密 
所 在 。 所 以 ,围棋 中 决定 成 败 的 关键 是 棋 手 的 创意 ， 而 不 是 他 拥有 的 经 验 。 

e 象棋 

象棋 的 情况 又 如 何 呢 ?象棋 中 有 和 象棋 盘 , 棋盘 上 绘 有 固定 路 线 , 还 有 各 种 棋子 ， 下 棋 方 法 也 
比 围棋 复杂 得 多 。 开 始 前 先 根 据 规则 摆 放 好 固定 数量 的 棋子 , 然后 就 可 以 根据 固定 路 线 移动 棋子 
对 弈 。 下 棋 过 程 中 不 允许 增加 棋子 ， 只 能 在 原 有 棋子 的 基础 上 进行 , 并 且 象 棋 开始 时 的 章法 几乎 
是 一 样 的 ( 炮 居中 ， 上 马 ， 为 车 让 路 )。 下 象棋 时 ， 要 在 固定 的 框 子 中 根据 既定 规则 移动 固定 数 
量 的 棋子 ， 也 就 是 说 ， 象 棋 手 的 自由 是 受 限 的 。 象 棋 棋 手 的 经 验 越 丰富 ， 获 胜 的 可 能 性 就 越 大 。 
这 是 因为 ,限制 自由 时 ， 只 要 在 心里 记 下 各 种 棋谱 、 记 住 各 种 情形 的 走 法 ， 遇 到 相似 情况 就 能 根 
据 脑 中 记忆 的 棋 路 移动 自己 的 模子， 最 终 战 胜 对 手 。 所 以 象棋 高 手 大 部 分 都 是 上 了 年 纪 的 人 。 总 
之 ,象棋 中 决定 成 败 的 最 关键 因素 不 是 棋 手 的 创新 能 力 ， 而 是 他 们 的 经 验 。 

几 年 前 ，IBM 的 “深蓝 ”计算 机 战胜 了 国际 象棋 大 师 ， 于 是 有 报道 小 题 大 做 ， 说 计算 机 终于 
战胜 了 人 类 。 在 自由 受到 限制 的 这 类 游戏 中 ， 人 类 是 无 法 战胜 计算 机 的 ， 因 为 计算 机 拥有 人 类 无 
法 企及 的 计算 能 力 。 如 果 将 应 对 各 种 情形 的 棋谱 数据 化 , 存 人 计算 机 的 数据 库 ， 再 运用 优秀 的 算 
法 查询 , 那么 在 象棋 人 机 对 抗 中 , 计算 机 战胜 人 类 就 不 足 为 奇 了 。 但 是 在 需要 创造 能 力 的 围棋 中 ， 
由 于 本 身 并 不 存在 应 对 各 种 情形 的 棋谱 ， 所 以 计算 机 很 难 战 胜 人 类 ， 人 类 具有 创造 性 意识 ， 而 机 
器 没有 。 
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编程 与 代码 逆向 分 析 

@ 编程 

编程 类 似 于 围棋 ， 都 是 一 种 从 无 到 有 的 创造 行为 。 与 围棋 相似 ， 编 程 就 是 从 无 到 有 创造 某 件 
东西 (程序 ) 的 过 程 。 创 造 行为 本 身 就 已 经 包含 了 创新 的 含义 。 编 程 过程 中 ， 从 程序 编写 方法 到 
程序 本 身 ， 都 需要 编写 者 具有 相当 的 创造 能 力 ( 若 编制 出 的 程序 与 已 有 程序 雷同 ,这 样 的 程序 是 
不 会 有 市 场 的 。 只 有 含有 某 些 创新 元 素 ， 人 们 才 有 可 能 喜欢 它 )。 所 以 ， 程 序 编写 过 程 中 ， 创 意 
是 最 受 重 视 、 最 被 人 们 关注 的 。 

e 代码 逆向 分 析 

什么 是 代码 逆向 分 析 呢 ?代码 逆向 分 析 类 似 于 象棋 , 它 利 用 现 有 的 工具 、 方 法 对 已 经 编制 好 
的 程序 进行 逆向 分 析 。 并且, 代码 逆向 分 析 人 员 经 验 越 丰富 , 水 平 就 越 高 , 这 一 点 也 与 象棋 类 似 。 
也 就 是 说 ， 这 世上 有 编程 天 才 ， 但 不 会 有 代码 北向 分 析 天 才 ， 换 一 种 说 法 如 下 : 


“我 不 是 什么 天 才 ， 但 只 要 不 断 努 力 ， 照 样 能 成 为 代码 逆向 分 析 高 手 。” 


是 的 。 要 想 成 为 编程 高 手 , 编程 者 本 身 必须 具有 很 好 的 创新 意识 与 创新 能 力 ( 当然 , 不 论 哪 
个 领域 ， 只 要 有 足够 的 创意 ， 都 能 得 到 令 人 满意 的 成 果 )。 而 要 成 为 一 名 代码 逆向 分 析 专 家 则 不 
需要 这 样 ， 不 论 是 谁 ， 只 要 下 定 决心 、 不 断 努 力 ， 就 能 梦想 成 真 。 

.有 志 于 献身 代码 逆向 分 析 的 朋友 们 ! 

学 习 代码 逆向 分 析 时 ， 刚 开始 的 时 候 虽 然 要 学 的 东西 很 多 ,水 平 也 不 怎么 见长 , 但 是 就 像 上 
面 说 的 一 样 ， 只 要 肯 不 断 努 力 ， 就 能 获得 相应 回报 ， 取 得 进步 。 

就 像 现在 这 样 不 断 努 力 吧 !1!1! 只 要 不 断 努 力 ， 就 一 定 能 如 愿 以 偿 获 得 成 功 ， 只 是 需要 一 些 时 
间 而 已 。 一 起 拌 后 精神 ， 加 油 吧 ! 


2. 致 读者 


首先 ， 祝 贺 各 位 读 完 了 这 本 代码 闭 向 分 析 和 人 门 书 。 

虽然 各 位 对 本 书 内 容 的 理解 程度 各 不 相同 , 但 确实 都 读 完 了 。 对 于 完全 不 懂 代 码 逆向 分 析 的 
人 来 说 , 这 的 确 是 个 令 人 自豪 的 成 就 ,就 像 自 己 的 愿望 变 成 了 现实 , 好 好 品味 这 种 让 人 幸福 的 成 
就 感 吧 ! 

对 于 刚 接 触 代码 逆向 分 析 技术 的 读者 而 言 ， 眼 前 就 像 刚 开启 了 一 片 新 天 地 ， 里 面 充 满 了 让 
人 热血 沸腾 的 挑战 以 及 无 限 可 能 。 不 论 是 个 人 兴趣 还 是 工作 需要 ， 学 习 逆 向 分 析 技 术 前 后 的 心 
态 很 明显 会 不 一 样 。 正 是 这 些许 不 同 引导 各 位 进入 一 片 新 天 地 ， 一 个 充满 无 限 可 能 而 又 极 具 挑 
战 的 地 方 。 

接 下 来 , 各 位 还 要 把 学 到 的 各 种 技术 应 用 到 实际 工作 或 个 人 项 目 中 , 不 断 积 累 实战 经 验 , 在 
实践 中 成 长 。 这 一 过 程 中 有 两 样 东西 是 必 备 的 : 一 本 翻阅 了 无 数 次 的 参考 书 ( 希望 本 书 能 担 此 任 ) 
和 互联 网 (在 互联 网 上 不 仅 可 以 了 解 最 新 信息 ， 还 可 以 获得 更 多 灵感 )。 大 家 在 实践 中 可 能 会 遇 
到 各 种 各 样 的 问题 ， 通 过 不 断 思考 来 逐一 解决 并 积累 经 验 ， 自 身 的 技术 水 平 会 得 到 极 大 提高 。 

请 大 家 始终 坚持 亲自 尝试 ， 积 累 丰富 的 实际 经 验 ， 这 是 提高 逆向 分 析 水 平 的 不 二 法 门 。 


2012 年 9 月 


a 


AeDebug 621 
安装 服务 599,609 


绑 定 导 人 表 235 

保存 文件 265, 291, 295 

被 调试 者 ( Debuggee ) 289 

被 调试 者 ( notepad.exe ) 的 EIP 值 295 
本 地 内 核 调试 407 

比较 校 验 和 575 

编辑 命令 264, 646 

编码 21, 25, 59 

变形 的 fastcall 391 

补丁 5, 24,48 


C 


CREATE PROCESS_DEBUG INFO 结 构 体 299 
CreateRemoteThread 205 
CreateToolhelp32Snapshot 332 
操作 码 12, 29, 131 

操作 码 映 射 507, 509, 511 
操作 数 37, 47, 67 

操作 数 类 型 512, 516 

查找 OEP 132, 162 

程序 数据 库 406 

出 于 恶意 运行 的 键盘 记录 器 194 
创建 子 进程 363, 367, 593 


D 


DEBUG_EVENT 结 构 体 297, 652, 658 
代码 补丁 167, 666 

代码 补丁 与 内 内 补 丁 的 不 同 167 
代码 混淆 569 

代码 结构 3, 172, 464 

代码 重组 583 


5| 


代码 注入 247,255, 266 
代码 注入 技术 247,252,254 


.代码 字 节 顺序 569 


单 步 执行 566, 571 

导入 107, 110, 112, 120 
FAR 158, 230, 235 

导 人 地 址 表 21,65, 105 
导入 目录 表 224 

地 址 空间 布局 随机 化 424 
调试 API 206, 286, 432 
调试 对 象 539, 545, 548 
调试 模式 296, 407, 542 
调试 器 3, 5, 10 

调试 器 (Debugger) 3, 10, 289 
调试 器 工作 原理 289, 304 
调试 事件 289, 296, 528 
调试 信息 文件 406 

调试 运行 时 的 异常 处 理 方 法 484 
调用 约定 59,77 
动态 反 调 试 527, 554, 565 
动态 方法 285, 559, 565 
动态 链接 库 105, 197 
洞穴 代码 167, 172, 176 
独立 运行 代码 247 
段 描 述 符 表 38 
段 选 择 符 472 

多 态 代 码 123, 590 

多 线程 301, 350, 491 





EnumProcesses 332 
ExceptHandler 557 

EXCEPTION DISPOSITION 557 
Executable modules 窗 口 191 
恶意 键盘 记录 器 194 

二 次 跳 转 352 


File\Open 菜 单 630 
反 调 试 22, 116, 123 


* 8] 677 


反 调 试 技 术 41, 123, 162 IMAGE BASE RELOCATION 结 构 体 139 
反 汇 编 3, 5, 10 IMAGE OPTIONAL HEADER32 400 
反 汇 编 器 263,282,306 IMAGE OPTIONAL HEADER64 400 


反 转 储 技术 244, 582, 584 
非法 指令 651, 659, 661 
分 离 286, 384, 432 

服务 33, 90, 106 

服务 控制 器 597 

服务 启动 超时 609 

服务 启动 过 程 597 

服务 属性 对 话 框 601 
符号 40, 306, 406 

附加 38, 208, 243 


G 


高 级 反 调试 526, 577, 593 
高 级 全 局 API 钩 取 359 

跟踪 11, 13, 15 

共享 内 存 节 区 338 

HHE 180, 187, 193 

FAH 88, 116, 177 

钩 取 CreateProcess() API 345 
钓 取 IAT 308,313,317 

4H WriteFile() API 288, 295, 299 
钩 取 函数 199, 284, 313 

钩 取 键 盘 消 息 187 

#JF 180, 187, 190 

挂 起 76,366,616 

挂 起 模式 440, 442, 616 


函数 调用 约定 77, 79, 391 
互 斥 体 650 

互 斥 体 对 象 650 

恢复 运行 76, 362, 367 

回调 函数 181, 192, 452 
汇编 编程 260, 502, 670 
汇编 语言 9, 12, 30 

会 话 357, 430, 436 

混乱 代码 581,590, 592 
活动 解决 方案 平台 (P) 386 


IA-32 用 户 手 册 36, 38, 502 
IA-32 指 令 64, 82, 263 
IA-32 指 令 格 式 506, 510, 512 


InternetOpenUrl 228 


机 器 语言 119,502 

基 址 重 定位 表 135, 138 
基 址 重 定位 表 的 分 析 方法 139 
计算 器 88, 104, 308 
计算 校 验 和 172,575 
技术 图 表 284, 308, 329 
加 密 70, 88, 167 
加 密 / 解 密 577, 581 

加 载 DLL 106, 197, 207 
检索 字符 串 66,188 
键盘 钩 取 182, 188 
键盘 记录 器 187, 194 
键盘 事件 183, 187 

节 区 对 齐 626 
结构 化 异常 处 理 机 制 39, 472 
解码 59, 122, 151 

解码 代码 150, 667 
解码 循环 130, 134, 163 
解密 循环 169 

进程 环境 块 39, 469, 473 
进程 内 存 转 储 242, 486 
进程 隐藏 工作 原理 332 
静态 反 调 试 527,553 
静态 方法 285, 667 


KiFastSystemCall() 283 
空白 区 域 91, 160, 173 

L 
LoadLibrary 275 
垃圾 代码 47,49, 123 
立即 数 509, 512, 514 


MOV EDI, EDI 指 令 351 
MyCreateRemoteThread 444 
默认 异常 处 理 器 493 


678 * 引 











N 


Null-Padding 区 域 175, 233 

内 存 非法 访问 481, 500 

内 存 转 储 243,245 

内 核 调试 41, 306, 405 

内 核 调试 (Kernel Debugging ) 407 
内 艇 补丁 167, 172, 176 


O 


OBJECT TYPE INFORMATION 结 构 体 546 


OpenProcess 204 


Q 


前 级 267, 507,510 

全 局 API 钓 取 333 

全 局 API 钓 取 技 术 359, 361, 368 
全 局 钓 取 329, 333, 348 

全 局 钩子 181 

全 局 描述 符 表 寄存 器 471 


RVA 一 RAW 变 换 157 
扰乱 代码 对 齐 578, 581, 586 
热 补丁 350, 373 

日 记 本 88, 200 


SYSENTER 283 
SYSTEM PROCESS INFORMATION 342 
设置 IAT 131, 134, 165 

设置 断 点 16, 21, 25 

设置 无 限 循环 610, 619, 625 

生成 栈 帧 50, 52, 55 

时 间 片 切 分 机 制 491 

使 用 全 局 钓 取 333, 358 

数字 3, 72 

双 字 节操 作 码 518 

属性 值 175, 238, 428 


T 


THREAD INFORMATION CLASS 549 


条 件 记录 上 断 点 655 


Ultimate PE 压缩 器 146 
V 
VirtualAllocEx 205 


Windows OS 的 转 储 文件 307 
WriteConsoleA 456 
WriteProcess Memory 205 

外 壳 进程 627 ` 

文本 编辑 器 267 

无 限 循环 295, 350, 558 

无 限 循环 代码 645, 670 


系统 崩溃 58,307 

系统 断 点 416, 657, 658 
线程 环境 块 39, 466 
线程 局 部 存储 452 
线程 上 下 文 (Thread Context ) 301 
线程 信息 块 470 

陷阱 标志 489, 565, 570 
相对 距离 340,611 

消息 队列 180, 187, 230 
消息 钩子 180 
小 端 序 标记 法 32, 274, 311 
校 验 和 170, 575 
修改 5 个 字 节 331, 339, 350 
修改 API 代 码 329, 333, 336 
修改 EIP 40, 485, 555 

虚拟 键 值 187 

寻 址 方法 512,521 


移动 IDT 233 

移 位 值 519,572 

移 位 值 & 立 即 数 519 
异常 40, 137, 156 
隐藏 54, 122, 155 
隐藏 进程 329 


应 用 程序 编程 接口 282 
映射 22,104,106 

映像 104, 119, 144 
运行 时 压缩 器 22, 116, 121 


Z 


增加 服务 启动 超时 时 间 609 

栈 的 逆向 扩展 特性 274 

栈 帧 38,50 

正常 运行 时 的 异常 处 理 方法 484 


执行 流 24, 55, 58 
指令 10,26 

指令 前 缀 507 
中 文 77,105, 111 
重 定位 92, 107, 111 
助 记 符 504 
注册 表 编 辑 器 210,385 
注入 116, 182 
启动 函数 12,18 
自我 创建 593, 615 
组 织 IAT 165 


679 





一 一 最 前 沿 的 IT 类 电子 书 发 售 平台 


电子 出 版 的 时 代 已 经 来 临 。 在 许多 出 版 界 同行 还 在 犹豫 入 律 的 时 候 ， 图 灵 社 区 已 经 采取 实际 行 
动 拥抱 这 个 出 版 业 巨 变 。 作 为 国内 第 一 家 发 售 电子 图 书 的 IT 类 出 版 商 ， 图 灵 社 区 目前 为 读者 提供 两 
种 DRM-free 的 阅读 体验 : 在 线 阅读 和 PDF。 

相 比 纸 质 书 ， 电 子 书 具 有 许多 明显 的 优势 。 它 不 仅 发 布 快 ， 更 新 容易 ， 而 且 尽 可 能 采用 了 彩色 
图 片 《即使 有 的 书 纸 质 版 是 黑白 印刷 的 ) 。 读 者 还 可 以 方便 地 进行 搜索 、 剪 贴 、 复 制 和 打印 。 

图 灵 社 区 进一步 把 传统 出 版 流程 与 电子 书 出 版 业务 紧密 结合 ， 目 前 已 实现 作 译 者 网 上 交 稿 、 编 
辑 网 上 审 稿 、 按 章 发 布 的 电子 出 版 模式 。 这 种 新 的 出 版 模式 ， 我 们 称 之 为 “敏捷 出 版 ”， 它 可 以 
让 读者 以 较 快 的 速度 了 解 到 国外 最 新 技术 图 书 的 内 容 ， 弥 补 以 往 翻 译 版 技术 书 “ 出 版 即 过 时 ”的 缺 
憾 。 同 时 ， 敏 捷 出 版 使 得 作 、 译 、 编 、 读 的 交流 更 为 方便 ， 可 以 提前 消灭 书稿 中 的 错误 ， 最 大 程度 
地 保证 图 书 出 版 的 质量 。 


优惠 提示 : 现在 购买 电子 书 ， 读 者 将 获 赠 书 款 20% 的 社区 银子 ， 可 用 于 兑换 纸 质 样 书 。 


一 一 最 方便 的 开放 出 版 平台 


图 灵 社 区 向 读者 开放 在 线 写作 功能 ， 协 助 你 实现 自 出 版 和 开源 出 版 的 梦想 。 利 用 “合集 ” 功 
能 ， 你 就 能 联合 二 三 好 友 共同 创作 一 部 技术 参考 书 ， 以 免费 或 收费 的 形式 提供 给 读者 。 ( 收费 形式 
须 经 过 图 灵 社 区 立项 评审 。 ) 这 极 大 地 降低 了 出 版 的 门槛 。 只 要 你 有 写作 的 意愿 ， 图 灵 社 区 就 能 帮 
助 你 实现 这 个 梦想 。 成 熟 的 书稿 ， 有 机 会 人 选 出 版 计划 ， 同 时 出 版 纸 质 书 。 

图 灵 社 区 引进 出 版 的 外 文 图 书 ， 都 将 在 立项 后 马上 在 社区 公布 。 如 果 你 有 意 翻 译 哪 本 图 书 ， 欢 

迎 你 来 社区 申请 。 只 要 你 通过 试 译 的 考验 ， 即 可 签约 成 为 图 灵 的 译 者 。 当 然 ， 要 想 成 功 地 完成 一 本 
书 的 翻译 工作 ， 是 需要 有 坚强 的 六 力 的 。 


一 一 最 直接 的 读者 交流 平台 


在 图 灵 社 区 ， 你 可 以 十 分 方便 地 写作 文章 、 提 交 勘 误 、 发 表 评 论 ， 以 各 种 方式 与 作 译 者 、 编 辑 
人 员 和 其 他 读者 进行 交流 互动 。 提 交 勘 误 还 能 够 获 赠 社区 银子 。 

你 可 以 积极 参与 社区 经 常 开 展 的 访谈 、 乐 译 、 评 选 等 多 种 活动 ， 赢 取 积 分 和 银子 ， 积 累 个 人 
声望 。 
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